Não é possível desativar cookies de rastreamento persistentes no CFMX 8
-
06-07-2019 - |
Pergunta
CFMX 8 Empresa
Ativei a configuração "Usar variáveis de sessão J2EE" em Variáveis de memória porque os requisitos de segurança determinam que cookies persistentes não podem ser usados.
Entendi que ativar essa configuração dirá ao CF para criar e usar apenas um cookie de sessão "JSESSIONID".
No entanto, meu servidor ainda parece estar criando e usando os cookies "CFID" e "CFTOKEN" antigos com datas de expiração daqui a trinta anos.
Agora, obviamente, posso fazer o velho truque de manipular CFID e CFTOKEN com CFCOOKIE em meu Application.cfc para remover a data de expiração, mas isso é algo que preciso adicionar a todos os meus aplicativos.
É tão simples quanto reiniciar o serviço ColdFusion?Um inseto?Ou estou apenas entendendo mal a configuração?
Solução
Do banco de dados KB on-line:
O ColdFusion MX (CFMX) introduz o gerenciamento de sessões de servlet J2EE além do gerenciamento de sessões tradicional do ColdFusion.O gerenciamento de sessões J2EE permite o compartilhamento de informações de sessão entre páginas ColdFusion e páginas JSP ou servlets em um único aplicativo.Com o gerenciamento de sessões J2EE, o ColdFusion usa uma nova variável, o JSESSIONID, para rastrear a sessão do navegador de um usuário em vez de CFID/CFTOKEN. Entretanto, o ColdFusion MX ainda cria os valores CFID e CFTOKEN, mas esses valores não são mais usados para identificar exclusivamente sessões do navegador. O gerenciamento de sessão J2EE não requer um nome de Aplicativo, portanto o valor SESSION.SESSIONID se torna JSESSIONID.Como oJSESSIONID é sempre escrito como um valor por sessão, ele é destruído quando o navegador é fechado e um novo é criado a cada nova sessão do navegador.
Portanto CFID e CFTOKEN são gerados, mas ignorados.