ColdFusion会话由CFID,CFTOKEN和jsessionid值组合支持。首次点击cfm页面时,会建立这些值,从而创建SESSION。
我的问题是,如果SESSION是在HTTP下创建的,然后点击一个链接进入HTTPS下的登录页面,那些SESSION令牌值是否会被泄露,因为它们是在http下创建的(即它们以明文形式传递为请求的一部分)。
我猜测有人精明地嗅探公共路由器可能会获得这些值,然后欺骗会话。我知道,这肯定是罕见的,但仍然是一个问题。
答案 0 :(得分:6)
是的,如果您通过非安全通道传递它们,您的Cookie很容易受到窃听和会话劫持。他们的会话劫持页面上列出了Wikipedia has some good prevention mechanisms。可能最简单的方法是使用invertSpear表示并在成功登录后重新生成会话,并且一旦登录,就保持HTTPS。