我们一直未能通过 PCI 扫描，因为 ColdFusion 具有可预测的 CFID。我们得到的确切 FAIL 是“可预测的 Cookie session ID”。现在 CFTOKEN 不再是可预测的，因为我已经将 CF 配置为对 CFTOKEN 使用 UUID，但是，CFID 仍然是可预测的，并且不受 CF Admin 中的任何更改的影响。

我真的不知道为什么 CFID 可预测是一种威胁，但他们希望我们修复它。

我一直无法通过谷歌搜索找到任何关于此事的信息，我真的不知道还能做什么。

有没有其他人处理过这样的事情？有什么建议么？

编辑:这是我的 Application.cfc 文件的样子:

<cfcomponent output="false">

    <cfset this.name="DatabaseOnline">
    <cfset this.sessionManagement=true>
    <cfset this.setDomainCookies=true>
    <cfset this.setClientCookies=true>
    <cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>

</cfcomponent>

使用 J2EE session 变量应该可以解决这个问题。

为此，请转到 CF 管理员。服务器设置 --> 内存变量并选中“使用 J2EE session 变量”复选框。

你可以在这里找到更多信息 http://helpx.adobe.com/coldfusion/kb/predictable-cookie-session-ids-reported.html