Java中的SameSite Cookie理解与设置

最新推荐文章于 2024-04-29 15:45:07 发布
最新推荐文章于 2024-04-29 15:45:07 发布
阅读量1k 收藏
点赞数
文章标签: java 开发语言 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TechWhizKid/article/details/133042063
版权
Java 专栏收录该内容
85 篇文章 3 订阅 ¥59.90 ¥99.00
订阅专栏

SameSite Cookie是一种用于增强Web应用程序安全性的机制,它可以限制跨站点请求伪造(CSRF)攻击。在Java中,我们可以使用Servlet API来设置SameSite属性以控制Cookie的行为。本文将介绍如何理解和设置SameSite Cookie,并提供相应的Java源代码示例。

理解SameSite Cookie

在介绍如何设置SameSite Cookie之前,我们首先需要了解SameSite属性的含义和作用。SameSite属性用于指定Cookie是否可以随跨域请求发送到目标站点。它有三个可能的值:

  1. Strict(严格模式):当Cookie被设置为Strict模式时,它只能在目标站点的上下文中发送。如果请求来自不同的站点,Cookie将被阻止发送。

  2. Lax(宽松模式):Cookie在Lax模式下稍微宽松一些。它允许在GET请求中的跨站点情况下发送Cookie,例如从外部站点链接到目标站点。但对于POST、PUT和DELETE等非安全请求,Cookie将被阻止发送。

  3. None(无限制模式):当Cookie设置为None模式时,它可以随跨域请求发送到目标站点,即使是从不同的站点发送的。然而,为了确保安全性,设置为None模式的Cookie必须同时使用Secure属性,即只能通过HTTPS进行传输。

设置SameSite Cookie

在Java中,我们可以使用Servlet API来设置Cookie的SameSite属性。下面是一个示例代码,演示如何在Java中设置SameSite Cookie:


                

                
                
        

        

    




        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        

    

      

        

            

              
                
                  悠悠烟雨
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          

                

                        订阅专栏
                










                



	

		

			

				
					
samesite-cookie:使用SameSite Cookie保护您的网站

				
			

			

				

					05-22
				

			

		

		

			
				
用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一方”)使服务器断言特定的cookie只应与从同一...

			
		

	



                

              
                



	

		

			

				
					
后端代码设置Samesite属性

				
			

			

				

					Artisan_w
				

				

					03-05
					
					2652
					
				

			

		

		

			
				
Samesite属性设置
目的:防御CSRF
Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。
SameSite的取值可以为:
(1)unset(默认)。这种情况浏览器可能会采用自己的策略。
(2)none。存在CSRF风险。
(2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
(3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带

			
		

	



                


  
              

                


	

		

			

				
					
[Java]Spring增加Cookie属性SameSite

				
			

			

				

					qq_28033719的博客
				

				

					07-01
					
					5695
					
				

			

		

		

			
				
前言:

     SameSite 属性相对项目的 javax.servlet-api:3.1.0还是太新了,而项目是 Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于新的浏览器(chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSite。

SameSite:

     防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 ...

			
		

	





	

		

			

				
					
Cookie属性SameSite作用

					
最新发布

				
			

			

				

					橘导的博客
				

				

					04-29
					
					299
					
				

			

		

		

			
				
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。

			
		

	



		

			
		



	

		

			

				
					
java解决web端系统内嵌跨越问题,Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。

				
			

			

				

					绚烂的天空
				

				

					03-17
					
					1869
					
				

			

		

		

			
				
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。
它可以设置三个值。
Strict
Lax
None

1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 CookieSet-Cookie: CookieName=CookieValue; SameSite=Strict;
这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,

			
		

	





	

		

			

				
					
java(tomcat)如何设置cookie samesite属性

				
			

			

				

					m0_67393157的博客
				

				

					09-07
					
					2256
					
				

			

		

		

			
				
自从Chrome搞了个cookie samesite属性弄了iframe跨域整合站点带来了麻烦,为了恢复cookie不被拦截需要设置cookie samesite属性=None,但发现javax.http.Cookie没有这个接口。增加后发现还是不得,还得设置cookie secure, 这个javax.http.cookie到有api,但随机的JSESSIONID还得通过在tomcat9/conf/web.xml。注:只支持tomcat8/9最新版本。同时开通https访问!

			
		

	





	

		

			

				
					
javaServlet Cookie取不到值原因解决办法

				
			

			

				

					08-30
				

			

		

		

			
				
javaServlet Cookie取不到值原因解决办法主要是因为Cookie的domain和path属性的设置问题。通过修改Servlet的domain设置或使用request.getHeader("cookie")方法,可以解决这个问题,从而获取到Cookie值。

			
		

	





	

		

			

				
					
javahttp请求带cookie的例子

				
			

			

				

					08-25
				

			

		

		

			
				
在这个例子,我们首先创建了一个 URL 对象,并将 cookie 设置到请求头。然后,我们使用 `setDoInput(true)` 方法将输入流打开,并使用 `BufferedReader` 读取服务器的响应结果。  setRequestProperty 方法  在这...

			
		

	





	

		

			

				
					
老生常谈javacookie的使用

				
			

			

				

					09-01
				

			

		

		

			
				
下面小编就为大家带来一篇老生常谈javacookie的使用。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧

			
		

	





	

		

			

				
					
should-send-same-site-none:一个简单的实用程序,用于为“ SameSite = None” cookie属性检测不兼容的用户代理

				
			

			

				

					05-17
				

			

		

		

			
				
应该不发送相同的站点
该模块随附:
 一个小的实用程序函数isSameSiteNoneCompatible ,用于为SameSite=None cookie属性检测不兼容的用户代理(浏览器)。
 甲快递间件shouldSendSameSiteNone用于自动地除去SameSite=None reqesting客户端时,从响应的头是不兼容SameSite=None 。 (注意:在适用的情况下,您仍然有责任添加“安全” cookie属性。)
背景
在2020年2月推出的Chrome 80,Chrome会将未声明SameSite值的Cookie视为SameSite=Lax Cookie。 预计其他浏览器供应商将效仿Google的领导。 (请参阅此)。
 如果您管理跨站点Cookie,则需要应用SameSite = None; 安全设置这些cookie。 但是,某些浏览器(包括某些版本的Chr

			
		

	





	

		

			

				
					
java cookie的详解及简单实例

				
			

			

				

					08-31
				

			

		

		

			
				
Java Web开发Cookie是一种常见的技术,用于在客户端存储数据。它的工作原理是服务器将数据以键值对的形式发送给浏览器,浏览器将其保存在本地,并在后续的请求自动发送回服务器。以下是对JavaCookie的详细...

			
		

	





	

		

			

				
					
统一认证,跨域cookie写入问题,修改sameSite

				
			

			

				

					Thog_13的博客
				

				

					06-21
					
					1333
					
				

			

		

		

			
				
认证心采用iframe嵌套业务平台的模式,进行oauth2.授权,跨域cookie写入问题。

			
		

	





	

		

			

				
					
Springboot2.6以下版本对cookie的samesite设置的通用方法

				
			

			

				

					aol_aog的专栏
				

				

					12-23
					
					1345
					
				

			

		

		

			
				
SpringBoot1.x及Springboot2.6以下版本如何解决cookie的samesite问题。

			
		

	





	

		

			

				
					
SpringBoot 为 Cookie 设置 SameSite

				
			

			

				

					weixin_44951259的博客
				

				

					11-13
					
					1310
					
				

			

		

		

			
				
这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训。最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。

			
		

	





	

		

			

				
					
跨域情况下SameSite属性对Cookie的作用

				
			

			

				

					hjfalz的博客
				

				

					09-12
					
					900
					
				

			

		

		

			
				
跨域情况下SameSite属性对Cookie的作用前提假设响应的情况
前提假设

假设前端页面的运行地址为 http://localhost:8848/demo-cors/index.html,后端接口的运行地址为 http://127.0.0.1:10071/domain-one/method-a。注意,对 cookie 来说, domain=127.0.0.1 和 domain=localhost 是不同的,可以认为是两个域名。

响应的情况

后端设置cookie时如果没有显式的指定domain和pa

			
		

	





	

		

			

				
					
Java 进阶篇】Cookie 使用详解

				
			

			

				

					繁依Fanyi的博客
				

				

					11-06
					
					918
					
				

			

		

		

			
				
在 Web 开发Cookie 是一种用于存储客户端(通常是浏览器)数据的小型文本文件。Cookie 可以被服务器端创建并发送给客户端,然后客户端在之后的每次请求都会将这些 Cookie 数据发送给服务器。这使得服务器可以在不同请求之间跟踪用户的状态和信息。在本文,我们探讨了 Cookie 的基本概念、工作原理以及如何使用和管理 CookieCookie 在 Web 开发扮演着重要的角色,用于实现用户个性化体验、会话管理和更多功能。

			
		

	





	

		

			

				
					
如何使用 Apache 配置设置 SameSite cookie 属性?

				
			

			

				

					hzjhss的博客
				

				

					09-02
					
					450
					
				

			

		

		

			
				
我无法在“应用程序”选项卡使用内置开发人员工具看到 SameSite=Strict。请让我知道如何使用上述设置设置 SameSite=Strict。为什么它对你不起作用?也许它在分号后缺少“空格”?我在 Apache 配置添加了下面的标题代码。对于低于 2.2.4 的 apache2。对于 apache2 >= 2.2.4。[apache 手册] (

			
		

	





	

		

			

				
					
Java前后端分离项目跨域问题

				
			

			

				

					lu993356091的博客
				

				

					08-23
					
					831
					
				

			

		

		

			
				
前后端分离项目,跨域问题解决办法。前端使用vue,后端是springboot项目部署的架构是负载均衡方案,使用nginx代理所有的前端,前端动态获取后端的地址来进行访问。

			
		

	





	

		

			

				
					
php设置cookie的samesite

				
			

			

				

					06-13
				

			

		

		

			
				
在 PHP 设置 cookie 的 SameSite 属性,可以通过在 `setcookie()` 函数添加 `samesite` 参数来实现。示例如下:

```
setcookie('cookie_name', 'cookie_value', time() + 86400, '/', 'example.com', true, true, 'None');
```

其,第七个参数就是 SameSite 属性,这里设置为 "None"。需要注意的是,为了启用跨站使用,SameSite 属性必须设置为 "None",同时还需要设置 `secure` 参数为 `true`,以确保安全性。

如果需要设置多个 cookie 的 SameSite 属性,可以使用以下代码:

```
$options = [
    'expires' => time() + 86400,
    'path' => '/',
    'domain' => 'example.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'None'
];

setcookie('cookie_name1', 'cookie_value1', $options);
setcookie('cookie_name2', 'cookie_value2', $options);
```

在上面的代码,使用 `$options` 数组来存储所有的 cookie 参数,包括 SameSite 属性。然后,通过 `setcookie()` 函数来设置多个 cookie,其第三个参数使用 `$options` 数组来传递参数。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值