如何使Bluemix VCAP_ID cookie安全?

时间:2015-07-08 15:24:41

标签: security cookies ibm-cloud

Bluemix生成一个目前不安全的VCAP_ID cookie(见下文)。有没有办法可以强迫它安全?有没有理由不让它安全?

设置Cookie:的 VCAP_ID = [删除];路径= /;仅Http

VS

设置Cookie:的 VCAP_ID = [删除];路径= /;仅Http;安全

2 个答案:

答案 0 :(得分:2)

不,这是由Bluemix内部设置的。我们可以把它带回开发团队,以使cookie安全。

答案 1 :(得分:1)

什么是__VCAP_ID_ cookie

以下是我在cloudfoundry文档的HTTP Sessions Not Persisted or Replicated部分中找到的内容:

  

如果使用jsessionid cookie,Cloud Foundry支持对应用程序的传入HTTP请求的会话关联或粘性会话。如果在Cloud Foundry上运行多个应用程序实例,则来自给定客户端的所有请求都将路由到同一应用程序实例。这允许应用程序容器和框架存储特定于每个用户会话的会话数据。

此粘性会话通过名为 __VCAP_ID_ 的Cookie进行跟踪,请参阅cloudfoundry/gorouter/proxy/proxy.go

设置__VCAP_ID_ cookie

结帐cloudfoundry/gorouter/proxy/setupStickySession() 设置此cookie的配置是私有方法,这意味着它在代理内部决定。唯一可变部分是maxAgePath,这意味着它使用JSESSIONID Cookie的__VCAP_ID_ Cookie的maxAge / Path。

我很好奇为什么Secure不属于此类。相反,在gorouter中创建代理时决定。我已创建issue 99来跟踪此情况,因为它应该与JSESSIONID一样安全。