后端代码设置Samesite属性

已于 2023-02-03 17:17:34 修改
阅读量2.6k 收藏 4
点赞数 1
分类专栏: Web 文章标签: java 后端
于 2022-03-05 14:00:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Artisan_w/article/details/123293807
版权

Samesite属性设置

目的:防御CSRF
Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。
SameSite的取值可以为:
(1)unset(默认)。这种情况浏览器可能会采用自己的策略。
(2)none。存在CSRF风险。
(2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
(3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie
进展:
方式一:tomcat8 及以上可以在 /conf/context.xml 文件里面的<Context>节点里加一个子节点

<Context>
   <CookieProcessor sameSiteCookies="lax" />
</Context

方式二:在过滤器中设置响应头

        String cookieHeader = req.getHeader("Cookie");
        if(cookieHeader != null) {      
        	 String[] cookiesHeaders = cookieHeader.split(";");
             boolean firstHeader = true;
         	 for (String header : cookiesHeaders) {
         		header = header.trim();
         		if(header != null) {
         			String[] headStr = header.split("=");
             		if(headStr[0].equals("名称")&&firstHeader) {
             			firstHeader = false;
             			resp.setHeader("Set-Cookie", String.format("%s; %s", header, "Path=/;HttpOnly=True;Secure=true;SameSite=Lax;"));
             		 }
         		}
              }
        }
Artisan_w
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
视频网站后端代码
04-23
用Golang写的后端代码,可以用作视频网站用,只希望用作学习、研究使用,请勿商用。
后端代码规范
11-02
后端代码规范
Springboot2.6以下版本对cookie的samesite设置的通用方法
aol_aog的专栏
12-23 1356
SpringBoot1.x及Springboot2.6以下版本如何解决cookie的samesite问题。
java(tomcat)如何设置cookie samesite属性
m0_67393157的博客
09-07 2257
自从Chrome搞了个cookie samesite属性弄了iframe跨域整合站点带来了麻烦,为了恢复cookie不被拦截需要设置cookie samesite属性=None,但发现javax.http.Cookie没有这个接口。增加后发现还是不得,还得设置cookie secure, 这个javax.http.cookie到有api,但随机的JSESSIONID还得通过在tomcat9/conf/web.xml。注:只支持tomcat8/9最新版本。同时开通https访问!
Tomcat安装部署、应用及优化
weixin_50471413的博客
03-27 599
Epoch : 0[Unit][Service][Install]OPTIONS="-l 127.0.0.1,::1" #默认监听本机端口11211Maven 翻译为"专家"、"内行",是 Apache 基金会旗下的一个纯 Java 开发的开源项目,Maven 是一个项目管理工具,可以对 Java项目进行构建、解决打包依赖等。它为开发者提供了一套完整的构建生命周期框架,开发团队稍微投入一些时间就能够自动完成工程的基础构建配置;
Chrome解决访问限制SameSite设置
weixin_48017822的博客
06-08 9595
Cookie——SameSite属性 SameSite属性:Chrome浏览器为了防止CSRF攻击和用户追踪,Cookie的SameSite属性用来限制第三方Cookie,从而减少安全风险。即如调用第三方登录组件,会完全禁止第三方Cookie,跨站点时,任何情况下都不会发生Cookie。换言之,即当前网页的URL与请求目标一致,才会带上Cookie。 放开限制设置方法:https://support.siteimprove.com/hc/en-gb/articles/360007364778-Tu.
SpringBoot解决(谷歌Chrome) --SameSite属性
天上飞的云传奇
11-06 2159
转载自 https://springboot.io/t/topic/2602 早点看到就好了,按照之前的SpringBoot配置跨域,只有火狐可以通过。 谷歌和内核一样的Edge都失败了。 也是之前知道谷歌增加了个啥,可以通过配置浏览器解决。但是总不能每访问网站的人都 配置自己的浏览器吧 今天打开看了一下,发现有个警告 Edge报的警告。然后我搜到了这个文章。 方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=
tomcat
cwt0314的博客
08-30 233
文章目录1. tomcat简介2. tomcat项目部署2.1 java环境安装2.2 tomcat部署2.3 开启管理模块 1. tomcat简介 Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和J...
java解决web端系统内嵌跨越问题,Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
绚烂的天空
03-17 1870
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,
django设置samesite
getcomputerstyle的博客
04-01 860
较新版本的chrome会因samesite策略而禁止跨域的cookie 解决方法在项目中的setting.py设置: SESSION_COOKIE_SAMESITE = 'None' SESSION_COOKIE_SECURE = True 网上的方法都不行,看了一下官网的文档,注意要把SESSION_COOKIE_SAMESITE设置为字符串"None" ...
Cookie 的 SameSite 属性
weixin_55802150的博客
08-03 1457
不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
基于Java后端代码设计源码
最新发布
05-25
本源码为基于Java后端代码设计,包含40个Java文件、27个JPG文件、5个PNG文件等,共79个文件。该项目提供了丰富的后端代码资源,支持快速构建和部署后端应用。
warest_mall01_mmal商城后台后端代码_
10-03
mmal商城后台部分后端代码
后端代码环境需要的一些配置文件自己留着底
02-23
有时候后端代码需要额外的配置文件自己公司的项目用的,留个底。
谷歌浏览器google80以上版本开发调试跨域问题处理,SameSite设置
qq445829096的博客
09-02 2918
谷歌浏览器跨域问题,系统登录后,从session获取用户信息还是提示登录超时, 后台已经设置了允许127.0.0.1:8080跨域,其他内核浏览器只要后台设置跨域后都没这个问题,谷歌内核特殊 网上也有查找谷歌的一些安全性的设置 经过查询资料发现: 从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。该设置当前默认是关闭的在Chrome 80之后,该功能默认已开启 1、快...
浏览器默认设置SameSite属性的作用
oi
01-30 7143
系列文章目录 文章目录系列文章目录一、CSRF 攻击是什么二、SameSite 属性 一、CSRF 攻击是什么 CSRF(Cross-site request forgery),中文名称:跨站请求伪造 CSRF攻击往往通过盗取你的 Cookie 信息,而Cookie 往往用来存储用户的身份信息,在盗取完你的 Cookie 信息后;恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 简单来说就是:攻击者盗用了你的身份,以你的名义发送恶意请求。 一个典型的CSRF攻击有
tomcat配置参数详解
Jack Zhu
11-19 7103
tomcat配置参数详解 请打开Tomcat的配置文件server.xml,下面我们来分析下各参数的意义及用法:   className   官方文档上说了This MUST be set to org.apache.catalina.valves.AccessLogValve to use the default access log valve.
新版chrome跨域问题:cookie之SameSite属性
热门推荐
cnq2328的专栏
03-27 3万+
新版chrome跨域问题:cookie之SameSite属性 原创dominx 最后发布于2020-03-16 16:00:02 阅读数 299 收藏 展开 最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值