在 ColdFusion 中，从 http 切换到 https 后是否需要重新建立会话令牌？

Question

ColdFusion 会话由 CFID、CFTOKEN 和 jsessionid 值的组合支持。当第一次访问 cfm 页面时，会建立这些值，从而创建会话。

我的问题是，如果 SESSION 是在 HTTP 下创建的，然后单击链接以访问 HTTPS 下的登录页面，那么这些 SESSION 令牌值是否会受到损害，因为它们是在 http 下创建的（即，它们作为会话的一部分以明文形式传递）要求）。

我猜测有人敏锐地嗅探公共路由器可以获取这些值，然后从那时起欺骗会话。我知道，这肯定是罕见的情况，但仍然令人担忧。

Answer 1

是的，如果您通过非安全通道传递您的 cookie，它们将很容易被窃听和会话劫持。 维基百科在其会话劫持页面上列出了一些良好的预防机制。也许最简单的方法就是按照 invertedSpear 所说的那样，在成功登录后重新生成会话，并在登录后保持在 HTTPS 上。