因Spring Web 的Cookie sameSite坑 跨域之坑

最新推荐文章于 2024-07-02 17:57:28 发布
最新推荐文章于 2024-07-02 17:57:28 发布
阅读量1.9w 收藏 12
点赞数 4
分类专栏: Java-Web应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boom_man/article/details/84642040
版权

在这里插入图片描述

在这里插入图片描述

SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到,
他是防止 CSRF 攻击 具体可看 https://www.cnblogs.com/ziyunfei/p/5637945.html

spring web 最新版默认生成为SameSite=Lax,奇怪的是用spring data Session redis 后 cookie新增了 SameSite这个字段,所以不能携带cookie进行跨域post访问,文档上也不表明什么时候开始的,坑的是默认为Lax也不能设置,
遂现在将web版本降级

最后在github上提问 https://github.com/spring-projects/spring-framework/pull/1889

解决办法如rwinch所说

    @Bean
    public CookieSerializer httpSessionIdResolver(){
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        cookieSerializer.setCookieName("token");
        cookieSerializer.setUseHttpOnlyCookie(false);
        cookieSerializer.setSameSite(null);
        return cookieSerializer;
    }
Boom_Man
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 41
    评论
专栏目录
Spring Boot Web应用开发 CORS 跨域请求支持
08-30
Spring Boot Web应用开发 CORS 跨域请求支持 CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,它允许Web页面从不同的域名下加载资源,而不受同源策略的限制。 在Spring Boot Web应用开发中,CORS ...
关于解决Chrome新版本中cookie跨域携带和samesite的问题处理
SCARLETT_one的博客
08-28 1895
参考资料:https://www.chromium.org/updates/same-site/incompatible-clients 新版本处理方式如下针对Chrome版本67及以上话不多说,代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer.
新版chrome跨域问题:cookie之SameSite属性
热门推荐
cnq2328的专栏
03-27 3万+
新版chrome跨域问题:cookie之SameSite属性 原创dominx 最后发布于2020-03-16 16:00:02 阅读数 299 收藏 展开 最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时...
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“属性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
最新发布
m0_71905098的博客
07-02 777
注意:这两个配置必须同时添加并且secure为true 不然会出现“尝试通过Set-Cookie 标头设置Cookie 时被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必须得"Secure"属性。这是baseUrl里面的访问地址。这个问题主要出现在跨域的问题上 你的前端config访问的地址跟你baseurl的路径不一致 导致Chrome访问的时候出现跨域问题。这是config里面配置的路径。
Spring Boot 2.6 正式发布:循环依赖默认禁止、增加SameSite属性...
码农code之路
11-20 1917
昨天,Spring官方正式发布了Spring Boot今年最后一个特性版本:2.6.0同时,也宣布了2.4.x版本的终结。那么这个新版本又带来了哪些新特性呢?下面就一起跟着DD来看看吧!重...
[Java]Spring增加Cookie属性SameSite
qq_28033719的博客
07-01 6084
前言: SameSite 属性相对项目的 javax.servlet-api:3.1.0还是太新了,而项目是 Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于新的浏览器(chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSite。 SameSite: 防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 ...
Springboot应用中设置Cookie的SameSite属性
a595077052的专栏
08-26 3145
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
Spring boot 总结之跨域处理cors的方法
08-28
Spring Boot 跨域处理 CORS 的方法 Spring Boot 是一个基于 Java 的框架,用于快速构建生产级别的应用程序。然而,在构建前后端分离的项目时,我们经常会遇到跨域问题。跨域问题是指当我们的页面和接口在不同域名下...
Spring Boot(五)之跨域、自定义查询及分页
08-30
Spring Boot 跨域、自定义查询及分页 Spring Boot 中的跨域问题是一个非常重要的主题,跨域请求是指从本身站点请求不同域名或端口的服务所提供的资源时,就会发起跨域请求。例如最常见的,我们很多的 CSS 样式文件...
JavaScript cookie 跨域访问之广告推广
10-22
根据提供的文件信息,可以提炼出关于JavaScript cookie跨域访问的知识点,重点在于如何在广告推广场景中实现跨域功能。下面详细说明这些知识点: 1. **跨域访问的概念**:在Web开发中,跨域指的是一个域下的文档或...
Vue axios 跨域请求无法带上cookie的解决
10-14
在浏览器的安全策略中,跨域请求默认不携带cookie,这是为了防止跨站脚本攻击(Cross-Site Request Forgery, CSRF)。但如果我们确实需要在跨域请求中携带cookie,可以通过设置`withCredentials`属性来实现。 在Vue...
加入spring sesion redis后,cookie无法跨域请求
mouxiaoshi的博客
03-30 920
springsecurity + spring session redis 项目使用springsecurity来进行认证及鉴权 因项目每次部署登陆状态都会失效(session 认证机制) 故集成spring session redis将session保存在redis当中 当集成完成后,发现认证成功后返回的session-id跟登陆后携带的session-id不同导致无法认证成功 问题出在集成spring session redis 返回的响应头 set-cookie上 此时SameS...
Springboot应用中设置Cookie的SameSite属性,跨域支持
seapeak007的博客
02-07 1万+
转自:Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
一次跨域问题的解决经历(samesite
DATANGguanjunhou的博客
02-06 2786
1. 问题描述 生产和测试环境使用nginx做了反向代理,所以不存在跨域的问题,但是在本地研发环境,由于前后端分离,前端和后端在不同的电脑上开发,存在跨域问题。 前端使用的是vue,后端使用的是springboot。在前后端都做了跨域的设置,前端的设置为: //前端在vue的main文件全局添加一下代码: import axios from 'axios'; axios.defaults.withCredentials=true; 后端的设置为: import org.springframework.co
Spring MVC Cookie example
茶爸爸(微信:benyzhous) 的专栏
10-04 1万+
In this post we will see how to access and modify http cookies of a webpage in Spring MVC framework. Read Http Cookie in Spring MVC Spring 3 MVC framework provides a very useful annotation @Cook
SpringMVC跨域写入Cookie
无心
07-08 1154
前后端完全分离的项目,SpringMVC+Tomcat(SpringBoot),前端Vue+axios。下面是示例,把你不需要的删掉就可以。
spring
weixin_47520834的博客
09-17 807
Spring * 很重要 # 不重要 spring framework spring框架家族的学习路线 spring framework–>springWebMVC–>springboot–>springdata–>springSession–>springCloud 自己有兴趣可以看看spring serurity spring的概念:spring是一个控制反转和面向切面的容器,用来管理bean对象,同时根据bean对象的依赖关系进行动态注入bean。其他各
解决跨域Cookie的SameSite问题(使用Nginx)
tmyth的专栏
02-16 3万+
#简介 Chrome升级到80版本后,默认限制了跨域携带cookie给后端,笔者在使用iframe跨域引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,所以本文提出一套使用Nginx来解决SameSite问题的办法(需...
TongWeb相关http安全头设置方式
web的博客
12-16 7581
一、X-Frame-Options响应头配置 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。在TongWeb bin目录下external.vmoptions中设置该参数: -Dtongweb.X........
SpringCloud Gateway web访问跨域
05-28
要让Spring Cloud Gateway支持跨域访问,可以在Spring Cloud Gateway中添加CORS跨域配置。下面是一个简单的示例: ```java @Configuration public class CorsConfiguration { @Bean public CorsWebFilter ...
评论 41
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值