Impossible de désactiver les cookies de suivi persistant dans CFMX 8

Question

CFMX 8 Enterprise

J'ai activé l'option "Utiliser les variables de session J2EE". paramètre sous Variables de mémoire car les exigences de sécurité stipulent que les cookies persistants ne peuvent pas être utilisés.

J'ai compris que l'activation de ce paramètre indiquerait à CF de créer et d'utiliser uniquement un "JSESSIONID". cookie de session.

Cependant, mon serveur semble toujours créer et utiliser l'ancien style "CFID". et " CFTOKEN " cookies avec dates d'expiration dans trente ans.

Maintenant, évidemment, je peux faire le vieux truc de manipuler CFID et CFTOKEN avec CFCOOKIE dans mon Application.cfc pour supprimer la date d'expiration, mais c'est quelque chose que je devrais ajouter à toutes mes applications.

Est-ce aussi simple qu'un redémarrage du service ColdFusion? Un bug? Ou est-ce que je ne comprends pas le réglage?

Answer 1

À partir de la base de données KB en ligne:

  

ColdFusion MX (CFMX) introduit la gestion de session de servlet J2EE en plus de la gestion de session ColdFusion traditionnelle. La gestion de session J2EE permet le partage d'informations de session entre des pages ColdFusion et des pages JSP ou des servlets au sein d'une même application. Avec la gestion de session J2EE, ColdFusion utilise une nouvelle variable, JSESSIONID, pour suivre la session du navigateur d’un utilisateur au lieu de CFID / CFTOKEN. ColdFusion MX crée toujours les valeurs CFID et CFTOKEN, mais ces valeurs ne sont plus utilisées pour identifier de manière unique les sessions de navigateur. La gestion de session J2EE ne nécessite pas de nom d'application. La valeur SESSION.SESSIONID devient alors la valeur. JSESSIONID. Le JSESSIONID étant toujours écrit en tant que valeur par session, il est détruit lorsque le navigateur est fermé et une nouvelle est créée à chaque nouvelle session du navigateur.

Ainsi, CFID et CFTOKEN sont générés, mais ignorés.