SSM框架下的项目设置SameSite属性方法

最新推荐文章于 2024-08-21 09:45:09 发布

鹄望潇湘I

最新推荐文章于 2024-08-21 09:45:09 发布

阅读量8.2k

点赞数

分类专栏： Web开发文章标签： html5 spring java

本文链接：https://blog.csdn.net/a1270377682/article/details/105390059

版权

Web开发专栏收录该内容

3 篇文章 0 订阅

订阅专栏

近期Chrome更改了SameSite属性的默认值，导致跨域网站中出现了一些提示：

解决办法如下：

我的网站实际上有两个部分组成，前端和后端。其实这个SameSite属性是在Response中设置的，如果使用了SSM框架，则在注解的有@Controller的类中添加一个函数：

@ModelAttribute
public void setReqAndRes(HttpServletRequest request,HttpServletResponse response) {
	response.setHeader("Set-Cookie", response.getHeader("Set-Cookie")+";SameSite=strict");
		
}

这样，每一个前段Request的到来，都会执行一遍setReqAndRes（这是这个@ModelAttribute起的作用），而在这个函数里又设置了SameSite的属性，从而达到我们所期望的效果

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

鹄望潇湘I

关注关注

0
点赞
踩
9

收藏

觉得还不错? 一键收藏
6
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Cookie之SameSite属性

找到Web

08-27

1456

Cookie之SameSite属性 Chrome80之后更新了cookie的携带机制，把原来的SameSite属性，由None改成了Lax，这就导致了一些需要使用到第三方cookie的应用产生了异常。如果你这段时间有经常关注控制台的话，可能会发现一些warning: Cookie的SameStie属性用来限制第三方Cookie，从而减少安全风险（防止CSRF攻击）和用户追踪。具体如何使用cookie来防止CSRF攻击，可以参考使用站点Cookie属性防止CSRF攻击，里面基础地介绍了相关的知识。 S

（附源码）ssm基于Java web 的人人影视网站管理系统毕业设计290915

Weixin_CXSJ881的博客

02-20

1110

系统采用了B/S结构，将所有业务模块采用以浏览器交互的模式，选择MySQL作为系统的数据库，开发工具选择My eclipse来进行系统的设计。基本实现了影视网站管理系统应有的主要功能模块，本系统有管理员、学生两大功能模块，管理员：首页、站点管理（轮播图、公告栏）用户管理（管理员、注册用户）内容管理（论坛列表、论坛分类列表、电影资讯、资讯分类）更多管理（电影分类、电影信息、电影推荐、猜你喜欢、历史观看记录、电影统计）等操作。

6 条评论您还未登录，请先登录后发表或查看评论

后端代码设置Samesite属性

Artisan_w

03-05

3108

Samesite属性设置目的：防御CSRF Cookie的属性SameSite如果不配置或者配置为none，则存在CSRF风险。 SameSite的取值可以为：（1）unset（默认）。这种情况浏览器可能会采用自己的策略。（2）none。存在CSRF风险。（2）lax。大多数情况也是不发送第三方 Cookie，但是导航到目标网址的 Get 请求除外。（3）strict。完全禁止第三方 Cookie，跨站点时，任何情况下都不会发送 Cookie。换言之，只有当前网页的 URL 与请求目标一致，才会带

SpringBoot 为 Cookie 设置 SameSite

weixin_44951259的博客

11-13

1833

这里必须使用 addHeader() 而不是 setHeader()，惨痛的教训。最近在做单点登录系统时，部分场景需要使用 Cookie 保存信息，浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。

spring低版本设置cookie的samesite属性

最新发布

qq_43393995的博客

08-21

495

None属性：chrome默认将Lax设置为默认值，此时我们可以更改samesite的值，将其设置为none,此时必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。网上找了很多资源，由于jar版本比较低，没有samesite字段，尝试过继承cookie重写类，修改tomcat配置等方式，均不可用；Lax:该属性比strict的属性要宽松一些，其允许我们在跨站使用get请求时（不准确，比如ajaxget）携带cookie。属性，可用于防止 CSRF 攻击和用户追踪。

ssm工程引入SpringSession

qq_39839075的博客

06-07

783

11111

SameSite是什么？

0xuu的博客

07-04

632

其方案就是给 Cookie 新增一个属性，用这个属性来控制什么情况下可以发送 Cookie，这个属性就是我们今天要讨论的 SameSite 属性。当然，前提是用户浏览器支持 SameSite 属性。稍微尴尬的是有些企业还没有这个觉悟，比如我们常用的 Java Web 开发底层框架，Servlet 的 Cookie 类还没有支持这个新的属性，需要我们自己去实现。就像对抗疫情一样，Web 安全治理需要整个行业技术生态的支持，从这个角度看，我们互联网技术人应该积极响应和支持 Google 的这个策略。

python入门 django 入门（三） request、session、response、cookie等操作

weixin_39160689的博客

11-18

1813

本人java10年开发经验，现就职于电信，因工作需要学习python，记录自己的学习记录。后面也会持续分享真实工作经验，及项目。欢迎大家互关，一起学习!!文章有不严谨的地方请指出后面做过项目后，对python有更深的理解了，会录制免费视频，讲解真实项目接着上篇博客的项目，今天继续学习django的视图，只考虑前后端分离模式也就是只返回json数据，其它的请自学习其中view就是python的视图，v层，核心的代码逻辑都是写在view中测试项目需要用到postman，下载：链接：https://p

第一章：Django入门篇

qq_41405475的博客

06-28

652

文章目录第一章：Django入门篇一、 web应用二、HTTP协议（重要）请求协议响应协议响应状态码URL简介三、django简介3.2 目录介绍3.3 启动项目3.4 简单示例3.4 静态资源引入（很重要）3.5 django请求生命周期四、路由控制（次重要)4.1 从路径中解析出参数传递给视图函数4.2 路由分发4.3 反向解析4.4 django1.x的路由（了解）4.5 path。re_path中的kwargs的作用五、视图层（次重要）5.2 文件上传案例html模板内容视图补充六、模板层（次重要）

JavaEE知识体系

yuh2012的博客

07-11

2万+

1 1.文件上传下载 1.1 文件上传 1.1.1 文件上传的作用例如网络硬盘！就是用来上传下载文件的。在智联招聘上填写一个完整的简历还需要上传照片呢。 1.1.2 文件上传对页面的要求 1.必须使用表单，而不能是超链接； 2.表单的method必须是POST，而不能是GET； 3.表单的enctype必须是multipart/form-data； 4.在表单中添加file表

新版chrome跨域问题：cookie之SameSite属性

Welcome to Domla's world

03-16

2万+

最近在使用前后端分离开发的时候，遇到了一个诡异的问题，无论如何设置跨域，同一个页面获取到的session始终不一致。事情的起始大概是这样的：首先说一下我的业务逻辑，其实就是最常见的登录功能，获取验证码后存入session，用户提交登录时，将用户提交的验证码与从session里获取的验证码进行对比；功能简单，也好理解。可是却遇到了如下一系列问题：发现问题：登录界面前后端分离，ajax...

Cookie的SameSite属性

qq_36690992的博客

06-16

2万+

SameSite 属性 Chrome 51 开始，浏览器的 Cookie 新增加了一个SameSite属性，用来防止 CSRF 攻击和用户追踪（第三方恶意获取cookie），限制第三方 Cookie，从而减少安全风险。 SameSite属性可以设置三个值：Strict、Lax、None。 Strict：严格，完全禁止第三方获取cookie，跨站点时，任何情况下都不会发送cookie；只有当前网页的 URL 与请求目标一致，才会带上 Cookie。这个规则过于严格，可能造成非常不好的用户体验。比如，

Cookie 的 SameSite 属性

日积月累的博客

11-22

6828

2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie，在灰度期间，就致使了阿里系的不少应用都产生了问题，为此还专门成立了小组，推进各 BU 进行改造，目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知，也着实加深了一把你们对于 Cookie 的理解，因此极可能就此出个面试题，而即使不是面试题，当问到 HTTP 相关内容的时候，不妨也扯到这件事情来，一能代表你对前端时事的跟进，二还能借此引伸到前端安全方面的内容，为你的面试加分。前端。

set-cookie中的SameSite属性

热门推荐

关灯吃面

02-22

2万+

再见，CSRF：讲解set-cookie中的SameSite属性 2016-04-14 13:18:42 来源：360安全播报作者：暗羽喵阅读：18836次点赞(17) 收藏(21) SameSite-cookies是一种机制，用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制，并且现在在最新版本（Chrome Dev 51.0.

CSRF之samesite浅析

杳若的博客

07-21

6313

Burp的学习之samesite

sameSite有什么用

m0_57236802的博客

08-16

186

是一个在2016年引入的 HTTP cookie 属性，旨在增强 Web 的安全性，特别是减少跨站请求伪造 (CSRF) 攻击。属性决定了在何种情境下，cookie 应该被发送到服务器。可以有效地阻止攻击者利用用户在另一个站点上的有效会话。近年来，浏览器开始更加强调隐私和安全性，因此默认的。允许开发者在保持功能的同时，提高其站点的安全性。因此，为你的cookie明确设置。可以减少跟踪用户在多个站点上的行为的能力。行为可能会发生变化，尤其是在没有明确设置。: 通过限制第三方cookie的发送，

浅谈cookie中的SameSite属性

weixin_47450807的博客

03-03

9336

今天看了一道面试题，关于cookie中的SameSite属性，但是由于自己开发经验较少，所以并没有涉及到。所以我去查了一些文章，说一下自己对于cookie的SameSite属性的理解。一、写在头部我们在处理CSRF攻击的时候，常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token，3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。我们都是HTTP是没有

Springboot应用中设置Cookie的SameSite属性

a595077052的专栏

08-26

3171

转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下，才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略，枚举值：StrictLaxNone 其他的都很熟悉了，最后一个是 Chrome 51 开始，浏览器的 Cookie ...

SSM框架下的家政管理系统项目实现指南

SSM是Spring、SpringMVC、MyBatis三个框架的缩写，是Java Web项目开发中非常流行的组合框架。Spring主要负责业务对象的管理，SpringMVC负责Web层的请求处理，MyBatis则是一个优秀的持久层框架，它们通过整合可以构建...