cookies - Coldfusion 11中的CFToken/CFID

Question

CF11在这些cookie的值之前加上了看起来是应用程序名称的哈希值。

在CF9中，对我而言CFID的值类似于:2219
在CF11中，其更改为Z3ir0kan93jawdd3kz38onobced8tfgn2kc3fy8i0w884gqffsn-2219

我需要能够在同一池中运行CF9和CF11服务器(在进行升级时)，但是Cookie值的差异意味着，如果您登录CF9服务器并导航到CF11服务器，则将会注销。

有什么办法让CF11对这些cookie值使用CF9格式？

Answer 1

出于安全原因，CFID/CFTOKEN的值从简单的数字值更改为字符串+数字。
http://helpx.adobe.com/coldfusion/kb/predictable-cookie-session-ids-reported.html

Reason

In its default configuration, Adobe ColdFusion uses a pair of cookies named CF_ID and CF_TOKEN to manage user sessions. These two cookies are only ever used in tandem with each other--they are never used separately.

Even though CF_ID is sequential, CF_TOKEN is random and is unpredictable. Since it is the combination of both cookies that is used, the resulting combination is also unpredictable.

Solution

To eliminate this error in your compliance testing, you can configure ColdFusion to use J2EE session identifiers instead of CF_ID and CF_TOKEN.

Note: This solution does not make your ColdFusion server any more or less secure.

因此，让CF 11使用老式的数字CF_ID值不是您的最大利益。
如果将CF 9和CF 11放在同一个池中，请求可能会在一个池中随机跳出，那么您会遇到很多其他问题。大约两年前，我花了大部分时间从CF 8转换为CF 9(是的，是的，我知道)。
例如，如果您碰巧使用任何CF UI组件，当以CF X呈现的HTML＆JS开始的请求转到CF Y时，就会遇到问题，CF Y已为此功能更新了JS功能。我们将它们全部撕掉并转换为jQuery/jQuery UI
我们还遇到了像这样简单的事情: this.name = HASH(getDirectoryFromPath(getCurrentTemplatePath())); getDirectoryFromPath()返回8中的大写值和9中的小写值(反之亦然)。我们必须将其更新为: this.name = HASH(Lcase(getDirectoryFromPath(getCurrentTemplatePath())));为了使它们使用相同的应用程序名称，并因此使用 session 。
您最好在自己的池中运行CF 11并对其进行全面的回归测试以找出需要更新的内容。