springboot解决谷歌80及以上版本的SameSite设置cookie失效

最新推荐文章于 2024-04-08 14:47:03 发布
最新推荐文章于 2024-04-08 14:47:03 发布
阅读量6.8k 收藏 6
点赞数 1
分类专栏: spring 文章标签: java cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15764477/article/details/108361573
版权

前言

谷歌80新加了一个SameSite属性,防止跨域。但是就是由于这个新加的属性,我无法把cookie传到前端,搜罗了全网找到了两种解决方法,在此记录一下。
如果console出现下面这个,那cookie估计就没设置上:
在这里插入图片描述

A cookie associated with a cross-site resource at http://stu.hrbkyd.com/ was set without the SameSite attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

先看一下能正常设置cookie的request和response

addCookie的response:
在这里插入图片描述
getCookie的request:
在这里插入图片描述
可以看出添加cookie的response会有 Set-Cookie 字段,getCookie的request会有 Cookie 字段,有这两个字段才能添加成功。
下面来看springboot下的操作。

方法一

@GetMapping("/addCookie3")
    @ResponseBody
    public String addCookie3(@RequestParam("name") String name,@RequestParam("value") String value,HttpServletRequest request,HttpServletResponse response) {
        System.out.println(name+" "+value);
        Cookie cookie = new Cookie(name,value);
        cookie.setDomain(domain);//域名,xxx.com
        cookie.setHttpOnly(false);
        cookie.setPath(request.getContextPath());
        cookie.setMaxAge(60*60*24);
        response.addCookie(cookie);
        String s = name+"="+value+";";
        response.setHeader("Set-Cookie",s + "Path=*; SameSite=None; Secure");
        return "success";
    }
    @GetMapping("/getCookie")
    @ResponseBody
    public String getCookie(@RequestParam("name") String name,HttpServletRequest request) {
        Cookie[] cookies = request.getCookies();
        if (cookies == null) {
            return "no cookies";
        }
        for (Cookie cookie : cookies) {
            System.out.println(cookie.getName()+" "+cookie.getValue());
        }
        for (Cookie cookie : cookies) {
            if (cookie.getName().equals(name)) {
                return cookie.getValue();
            }
        }
        return "no such cookie";
    }
效果图:

说明:测试用页面的两个set按钮分别是添加cookie,一个为添加demoData=demoData,另一个为demoData2=damoData2,两个get是没别获取demoData和demoData2.

添加demoData:

在这里插入图片描述
可以看出response的Set-Cookie字段存在值。这里我的SameSite设置为了None,这样就必须再设置一个属性Secure,并且用https连接,这里是迫不得已,还可以设置为SameSite=Lax,这样就不用设置Secure,但是这样我无法get到值,所以采用None搭配Secure。

得到demoData:

在这里插入图片描述
本次我们发送的request也存在之前设置的cookie,并且也取到了值。
如下:
在这里插入图片描述
现在我们添加了一个cookie是成功了,这时我就在想,上面的代码是拼接的Set-Cookie字段,那么设置下一个cookie时要不要把之前的cookie也获取到,然后再拼接上新cookie呢?
比如说在设置一个demoData2=demoData2,那么这次用不用写成
response.setHeader("Set-Cookie","demoData=demoData;demoData2=demoData" + "Path=*; SameSite=None; Secure");
其实是不用的。这里在测试一下就可以,我们点击第二个set按钮,看看发生什么。

添加demoData2

在这里插入图片描述
可以看出,request发送时候带有demoData=demoData,response我们并没有像上面那么拼接,只拼接了demoData2,但是response自动带上了demoData。

得到demoData2

在这里插入图片描述
全部结果如下
在这里插入图片描述
成功的取到了demoData2.
下面来看方法二

方法二

get方法是一样的,这里只贴出来addCookie

@GetMapping("/addCookie2")
    @ResponseBody
    public String addCookie2(@RequestParam("name") String name,@RequestParam("value") String value,HttpServletRequest request,HttpServletResponse response) {
        System.out.println(name+" "+value);
        //new
        HttpCookie cookie = CookieUtils.generateSetCookie(request, name, value,Duration.ofHours(24 * 7));//七天过期
        response.setHeader(HttpHeaders.SET_COOKIE, cookie.toString());
        return "success";
    }

下面是CookieUtils

public class CookieUtils {
    private final static String domain = "xxx.com";
    public static HttpCookie generateSetCookie(HttpServletRequest request, String name, String value,Duration duration){
        ResponseCookie cookie = ResponseCookie.from(name, value) // key & value
                .secure(true)		// 在https下传输,配合none使用
                .domain(domain)// 域名
                .path("*")			// path
                .maxAge(duration)	// 过期时间
                .sameSite("None")	
                .build()
                ;
        return cookie;
    }
}

具体情况和细节与方法一是一样的。

deleteCookie

有了添加的方法,删除就不难了,只需要把有效时间变为0就行。下面采用方法2来删除cookie。

@GetMapping("/deleteCookie")
    @ResponseBody
    public String deleteCookie(String names, HttpServletRequest request,HttpServletResponse response) {
        System.out.println("names:"+names);
        Cookie[] cookies = request.getCookies();
        if (cookies == null) {
            return "no cookies";
        }
        for (int i = 0; i < cookies.length; i++) {
            if (names.equals(cookies[i].getValue())) {
                ResponseCookie cookie = (ResponseCookie)CookieUtils.generateSetCookie(request,names,null,Duration.ZERO);//有效时间为0
                response.setHeader(HttpHeaders.SET_COOKIE, cookie.toString());
                break;
            }
        }
        return "success";
    }

设置session

cookie整明白了,session就好设置了,因为session是通过Set-Cookie的JSESSIONID设置的,只需要获取到JSESSIONID就行。

@GetMapping("/setSession")
    @ResponseBody
    public Result setSession(String str,HttpSession session,HttpServletRequest request,HttpServletResponse response) {
        System.out.println(str);
        session.setAttribute("str",str);
        String id = session.getId();
        HttpCookie cookie = CookieUtils.generateSetCookie(request, "JSESSIONID", id, Duration.ofHours(3));
        response.setHeader(HttpHeaders.SET_COOKIE, cookie.toString());
        Result result = new Result();
        result.setCode(HttpStatus.OK.value());
        return result;
    }

最后附上测试用前端代码

注意如果设置SameSite=None,必须设置Secure,并且用https传输。如果是SameSite=Lax,则没有前面要求。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcdn.net/ajax/libs/axios/0.20.0-0/axios.js"></script>
    <script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.5.1/jquery.js"></script>
</head>
<body>
<button id="btn1">按钮1(set)</button>
<button id="btn2">按钮2(get)</button>
<button id="btn3">按钮3(set)</button>
<button id="btn6">按钮6(get)</button>
<button id="btn4">按钮4(delete1)</button>
<button id="btn5">按钮4(delete2)</button>
<script>


    let config = {headers: {'Content-Type': 'application/x-www-form-urlencoded'}};
    let domain = "localhost"
    $(function () {
        axios.defaults.withCredentials = true;
        $("#btn1").click(function () {
            axios.get('https://xxx.com/test/addCookie?name=demoData&value=demoData').then(res => {
                console.log(res.data);
            });
        });

        $("#btn2").click(function () {
            axios.get('https://xxx.com/test/getCookie?name=demoData').then(res => {
                console.log(res.data);
            });
        })

        $("#btn3").click(function () {
            axios.get('https://xxx.com/test/addCookie?name=demoData2&value=demoData2').then(res => {
                console.log(res.data);
            });
        });

        $("#btn4").click(function () {
            axios.get('https://xxx.com/test/deleteCookie?names=demoData').then(res => {
                console.log(res.data);
            });
        });

        $("#btn5").click(function () {
            axios.get('https://xxx.com/test/deleteCookie?names=demoData2').then(res => {
                console.log(res.data);
            });
        });

        $("#btn6").click(function () {
            axios.get('https://xxx.com/test/getCookie?name=demoData2').then(res => {
                console.log(res.data);
            });
        })
    })

</script>
</body>
</html>

后记

测试时候发现,/user下面的session会保存成功,但是到了/orderForm时,不会自动加上session,会在生成一个session,查看cookie就能发现有两个JSESSION,但是路径不一样。我的处理方式是在cookieUtil里面设置路径的path设置为"/"。

public static HttpCookie generateSetCookie(HttpServletRequest request, String name, String value,Duration duration) {
        ResponseCookie cookie = ResponseCookie.from(name, value) // key & value
                .secure(true)		// 在https下传输,配合none使用
                .domain(domain)// 域名
                .path("/")			// path
                .maxAge(duration)	// 过期时间
                .sameSite("None")	// 大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外Lax或者none
                .build()
                ;
        return cookie;
    }
CPeony
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和SessionCookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
01-09
近日,被Chrom浏览器折磨废了~幸亏公司有各路大神。 问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 首先你需要在httpd.conf文件中开启mod_header模块  LoadModule headers_module modules/mod_headers.so 你打开它以后并不能生效,所以我们还要重写Set-Cookie的头信息,其他的方法我们已经尝试并不可行,目前只有这一种方法可行 Header always edit Set-Cookie path=/ path=
Cookie 的 SameSite 属性
weixin_55802150的博客
08-03 1537
不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
为什么iframe里的网页不能获取cookie
最新发布
ivan5277的博客
04-08 1939
对于旧版Internet Explorer浏览器(已不再主流支持),iframe内的网页可能需要遵循P3P(Platform for Privacy Preferences)隐私策略声明才能读取或写入cookie。当iframe加载的是与主页面不同源的网页时,由于同源策略的限制,iframe内部网页通常无法访问主页面的cookie,反之亦然。如果iframe加载的是第三方站点,浏览器可能会阻止iframe从顶级上下文中读取或写入cookie,特别是当涉及到用户隐私和安全时,这种限制更为严格。
解决谷歌浏览器Cookie跨域问题this Set-Cookie didn
CEVERY的博客
03-16 1万+
问题: 项目发布后访问登录一直出现未登录的情况,本地运行就没问题。 后怀疑是发布配置问题,结果用postman直接接口登录访问某个被拦截的接口发现没问题。 最后,打开浏览器调试窗口发现了Set-Cookie响应头有个黄色的感叹号。this Set-Cookie didn.... 原因: Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 SameSite属性有: Strict、Lax、None 属性具体意义可参考:https://blog.csdn..
Springboot应用中设置Cookie的SameSite属性,跨域支持
seapeak007的博客
02-07 9939
转自:Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
谷歌浏览器google80以上版本开发调试跨域问题处理,SameSite设置
qq445829096的博客
09-02 2953
谷歌浏览器跨域问题,系统登录后,从session获取用户信息还是提示登录超时, 后台已经设置了允许127.0.0.1:8080跨域,其他内核浏览器只要后台设置跨域后都没这个问题,谷歌内核特殊 网上也有查找谷歌的一些安全性的设置 经过查询资料发现: 从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。该设置当前默认是关闭的在Chrome 80之后,该功能默认已开启 1、快...
解决新版chrome浏览器SameSite属性cookie拦截问题
qq_41140980的博客
11-05 3980
解决新版chrome浏览器SameSite属性cookie拦截问题 问题现象: 由于升级了新版chrome浏览器后,发现系统正常iframe嵌套、AJAX,Image从以前的跨站会发送三方 Cookie,变成了不发送。导致某些内容无法显示了,页面空白,但是请求未报错。 查找资料: 发现Google 在2020年2月4号发布的 Chrome 80 版本中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性,并且拒绝非Secure的Cookie设为 SameSite
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 9861
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookie的httponly和samesite属性。
设置cookie指定时间失效(实例代码)
08-30
下面小编就为大家带来一篇设置cookie指定时间失效(实例代码)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Cookie 的使用
青蛙king的博客
06-16 3710
目录 一、HTML5 应用缓存 二、Cookie 三、Storage 1、sessionStorage 2、globalStorage 3、localStorage 四、IndexedDB(了解) 一、HTML5 应用缓存 二、Cookie 三、Storage 1、sessionStorage 2、globalStorage 3、localStorage 四、IndexedDB(了解) .....................
跨域与同源策略
howeres的博客
04-03 814
Same-origin policy也就是同源策略;是为了防止假冒网站冒充源网站,对网站进行了一些限制,主要有Cookie、LocalStorage 和 IndexDB 无法读取、DOM 无法获得、AJAX 请求不能发送,同时还规定,提交表单不受同源政策的限制。 最初,它的含义是指,A网页设置Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。协议相同(http)、域名相同(www.amazon.com)、端口相同(80); 但有时,我们就需要去跨网站请求,这就需要用.
springboot手动配置SameSite导致springsessiondataredis失效
少年有事问春风
09-12 934
springboot手动配置SameSite导致springsessiondataredis失效
response.setHeader()的用法
热门推荐
Ljm_的博客
07-02 2万+
1. HTTP消息头(1)通用信息头即能用于请求消息中,也能用于响应信息中,但与被传输的实体内容没有关系的信息头,如Data,Pragma主要: Cache-Control , Connection , Data , Pragma , Trailer , Transfer-Encoding , Upgrade(2)请求头用于在请求消息中向服务器传递附加信息,主要包括客户机可以接受的数据类型,压缩方...
关于session的不断变化问题
qq_56533553的博客
11-11 1055
后来查资料发现确实是跨域的问题虽然localhost会被解析成127.0.0.1访问,但是还是会跨域,跨域你的域名 端口 协议变动了就是跨域。跨域让cookie无法被传递,sessionId是存储再cookie中的,所以后端每次都认为请求是新的请求没有sessionId就直接创建了。我一看项目源码,验证码生成后存储再session中了,等用户发送请求验证的时候sessionId变化了,导致通过session获取验证码是一个null。经过各种测试发现sessionId每次请求进来都是生成一个新的。
SpringBoot解决关于跨域导致sessionId不一致问题
liuzhongyu
09-09 5931
在用谷歌的kaptcha做验证码登录校验遇到了如下问题 用谷歌浏览器(版本85)访问验证码
就最近一段时间,就遇到了两次session id 一直变化的,所以做个总结。
rendeyishi的专栏
12-27 2万+
sessionid一直变化,1跨域 2session冲突
springboot web如何将SameSite设置为None
06-07
在 Spring Boot 中,可以通过配置 `server.servlet.session.cookie.same-site` 属性来设置 SameSite 属性的值。在 `application.properties` 文件中添加以下配置即可: ``` server.servlet.session.cookie.same-site=None ``` 注意:在设置 SameSite 为 None 的同时,需要保证使用 HTTPS 协议,否则会导致安全问题。因此,还需要通过配置 `server.ssl.enabled=true` 来启用 HTTPS。 另外,为了防止XSS攻击,建议将 `server.servlet.session.cookie.http-only` 属性设置为 true,防止 JavaScript 脚本获取到 Cookie 的值。例如: ``` server.servlet.session.cookie.http-only=true ``` 配置完成后,重新启动应用程序,即可使 SameSite 属性设置为 None。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值