Каждый раз, когда пользователь пытается получить доступ к нашему сайту с HTTP, они перенаправляются на HTTPS с помощью этого кода в Application.cfc:ColdFusion Отслеживание сеанса HTTP против HTTPS
If (CGI.HTTPS != "on") {
location(url="https://#Application.PortalApp.GetDomain()##CGI.SCRIPT_NAME#?#CGI.QUERY_STRING#", addtoken="false");
}
Странная вещь, если они никогда не доступ к сайту через http, но произойдет щелчок внутренней ссылки, которая указывает на http вместо https, они выходят из системы. Однако, как только они снова войдут в систему, они смогут получить доступ к http-ссылке, перенаправить на https и войти в систему.
Я выполнил некоторую поэтапную отладку, а сеанс https перезаписывается, когда пользователь получает доступ к http. Но как только пользователь обращается к http, https использует sessionid.
Это правильное поведение?
В настройках сеанса администратора ColdFusion значение HTTPOnly равно true, а для защищенного cookie установлено значение false.
Отметить это как ответ, однако важно отметить, что идентификаторы http session ids передаются в https в порядке, просто не наоборот. – Brad