ColdFusion 10 CFCookie 不尊重域属性答案

【问题标题】：ColdFusion 10 CFCookie not honoring domain attributeColdFusion 10 CFCookie 不尊重域属性
【发布时间】：2013-06-16 15:31:03
【问题描述】：

我有一个具有以下设置的 Application.cfc：

<cfset THIS.Name = "Test01" />
<cfset THIS.ApplicationTimeout = CreateTimeSpan(1,0,0,0) />
<cfset THIS.sessionTimeout = CreateTimeSpan(1,0,0,0) />
<cfset THIS.clientManagement = false />
<cfset THIS.SessionManagement = true />
<cfset THIS.SetClientCookies = false />
<cfset THIS.setDomainCookies = false />

我尝试发送以下 cookie：

<cfcookie name="CFID" value="#session.CFID#" domain=".test01.domain.net" path="/" expires="never">
<cfcookie name="CFTOKEN" value="#session.CFTOKEN#" domain=".test01.domain.net" path="/" expires="never">

但是，发送到浏览器的是：

Set-Cookie: CFID=6389; Domain=.domain.net; Expires=Fri, 12-Jun-2043 22:14:17 GMT; Path=/; HttpOnly:
Set-Cookie: CFTOKEN=783fa62afecfd571%2DB1069303%2D3048%2D3344%2DAA97ADAF73598FA6; Domain=.domain.net; Expires=Fri, 12-Jun-2043 22:14:17 GMT; Path=/; HttpOnly

无论我在域或路径中输入什么值，它总是发送相同的标头。如果我尝试使用cfheader，它只会发送任何内容。我唯一可以让它发送没有域值的 cookie 标头的方法是将 SetClientCookies 设置为 true：

Set-Cookie: CFID=6391; Expires=Fri, 12-Jun-2043 22:21:38 GMT; Path=/; HttpOnly

但是，我不能再通过使用 StructDelete 或 CFCookie 以及属性 expires now 来删除 cookie（实际上它会创建第二组 cookie）。

我的主要目标是简单地发送没有域的 CFID 和 CFTOKEN cookie（或者至少没有前导句点，例如 test01.domain.net）

【问题讨论】：

你在setting up HTTPOnly cookies看过这篇文章吗？在 CF10 上，只需在 Application.cfc 中设置this.sessioncookie.httponly = true。
设置this.sessioncookie.httponly = true和THIS.SetClientCookies = false，当name属性为CFID或CFTOKEN时，CF仍然会忽略任何cfcookie属性。服务器原始在 CFAdmin 中将 HTTPOnly 设置为 true。
见：stackoverflow.com/questions/17583768/…

标签： cookies coldfusion coldfusion-10 cfcookie

【解决方案1】：

感谢 Henry，我通过仔细查看使用 <cfset this.SetClientCookies = true> 时 CF10 发送的标头，再次了解了如何使用 cfheaders。 CF10 省略了发送到浏览器的标头中的域值，因此我复制了发送的标头 CF10 并将其放入 cfheader 中：

<cfheader name="Set-Cookie"  value="CFID=#session.CFID#; Expires=#GetHttpTimeString(DateAdd("yyyy", 40, Now()))#; Path=/">
<cfheader name="Set-Cookie"  value="CFToken=#session.CFToken#; Expires=#GetHttpTimeString(DateAdd("yyyy", 40, Now()))#; Path=/">

Lo' 并看到浏览器收到了 cookie，但没有带前导句点的域值。我还设法使用以下代码使这些 cookie 过期：

<cfheader name="Set-Cookie"  value="CFID=#session.CFID#; Expires=#GetHttpTimeString(Now()-1)#; Path=/">
<cfheader name="Set-Cookie"  value="CFToken=#session.CFToken#; Expires=#GetHttpTimeString(Now()-1)#; Path=/">
<cfset StructClear(session)>
<cflocation url="/" addtoken="no">

似乎唯一的怪癖是，在 Chrome 中使用 url 变量测试该代码块时，Chrome 会在我点击地址栏中简单地输入 ?ResetSen 时发送一个 HTTP 请求，从而导致第二个请求进入。这会导致一些奇怪的事情，例如跳过 CFID (7249 -> 7251) 或只发送两组 cookie（过期：无限期和过期：现在）。

没关系，真正的问题似乎是过期时间没有过去（同一秒内有两个请求），我将那部分更改为 #GetHttpTimeString(Now()-1)#，这是过去的一天，而且似乎没有问题。

原来是这样的：

<cfheader name="Set-Cookie"  value="CFID=#session.CFID#; Domain=test01.domain.net;Expires=Sat, 04-Jul-2043 13:24:38 GMT; Path=/">
<cfheader name="Set-Cookie"  value="CFToken=#session.CFToken#; Expires=Sat, 04-Jul-2043 13:24:38 GMT; Path=/">

发送这个：

Set-Cookie: CFID=7191; Domain=test01.domain.net; Expires=Sat, 04-Jul-2043 13:24:38 GMT; Path=/
Set-Cookie: CFToken=33b984d7a56f6356-0B97F3CF-3048-3344-AABF2B698F4B8B02; Domain=test01.domain.net; Expires=Sat, 04-Jul-2043 13:24:38 GMT; Path=/

浏览器接收到的.test01.domain.net 是我想要避免的。

【讨论】：

【解决方案2】：

是的，<cfcookie> 通过将任何域值剥离到.domain.tld 似乎做得太多了。见：why doesn't cfcookie allow setting domain= to a subdomain for CFID/CFTOKEN?

我不知道为什么，但解决方法是使用<cfheader>

【讨论】：

【解决方案3】：

为了在您的代码中修改会话 cookie，您应该在 Application.cfc 伪构造函数中添加以下内容：

<cfset this.sessioncookie.disableupdate = false>

这也可以在 CF 管理员的“内存变量”部分下的服务器级别进行控制。

【讨论】：

没有骰子，CF10 劫持命令并发送相同的旧 cookie 标头。我已经心软了，决定以另一种方式看待我最初的问题（在会话而不是 cookie 中）并简单地销毁会话（StructClear(session)）并让 CF10 将 CFID/CFTOKEN 分配给新创建的会话范围。