[Java]Spring增加Cookie属性SameSite

最新推荐文章于 2024-03-13 10:30:28 发布
最新推荐文章于 2024-03-13 10:30:28 发布
阅读量5.6k 收藏 10
点赞数 3
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28033719/article/details/118386352
版权

前言:

          SameSite 属性相对项目的 javax.servlet-api:3.1.0还是太新了,而项目是 Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于新的浏览器(chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSite。

SameSite:

          防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 Strict、Lax、None 三个值,当设置为 None 时候,需要配合 Secure 使用,并且只能够 Https 访问才允许第三方发送。

增加 Maven 依赖

加一个 redies 包的依赖,需要调用到里面的类

<dependency>
     <groupId>org.springframework.session</groupId>
     <artifactId>spring-session-data-redis</artifactId>
     <version>2.5.1</version>
</dependency>

增加配置类:

我之所以用 @Service,是因为项目里面没有 @Configuration 或者 @Configurable,是因为项目都用 xml 进行配置。

考虑到项目配置管理问题,要么全部 xml 或者要么全部 类配置,避免重名的 xml 和 类已经属性配置相互加载覆盖(spring 的配置加载顺序)。

import org.springframework.stereotype.Service;
import org.springframework.context.annotation.Bean;
import org.springframework.session.web.http.CookieSerializer;
import org.springframework.session.web.http.DefaultCookieSerializer;

@Service
public class SpringCookieConfiguration {

    private static final String cookieName = "SSO_LOGIN";

    @Bean
    public CookieSerializer loginInCookieConfig() { // 作为单例配置
        DefaultCookieSerializer serializer = new DefaultCookieSerializer();
        serializer.setCookieName(cookieName); // 设置 Key
        serializer.setCookieMaxAge(60 * 60 * 24);
        serializer.setCookiePath("/test/");

        serializer.setSameSite("NONE");  // 增加 SameSite
        serializer.setUseSecureCookie(true); // 增加 Secure
        return serializer;
    }
}

注入配置类:


import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Service;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.session.web.http.CookieSerializer;


@Service
public class LoginService {

    @Autowired
    private CookieSerializer l;

    /**
     * 设置 跨域/Https cookie
     */
    public void setToken(HttpServletRequest rq, HttpServletResponse rp, String t) {
        CookieSerializer.CookieValue c = new CookieSerializer.CookieValue(rq,rp, t);
        l.writeCookieValue(c); // 这里已经写入了 response
    }

}

后记:

看上面代码好像没写入cookie一样,这就是不看源码的人:

查看  writeCookieValue 这个方法就能看到 CookieValue 其实是封装类, response 被封了进去,然后方法内又拿了出来,最后 response 进行 addHeader(区别于 setHeader),这个方法和 response.addCookie 核心处理是相同的流程处理,并且增加了 SameSite 的属性.

此外还得注意 HttpOnly、cookieName 这些源码都是单独设置有默认值的

CookieSerializer:

Response:

qq_28033719
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
should-send-same-site-none:一个简单的实用程序,用于为“ SameSite = None” cookie属性检测不兼容的用户代理
05-17
应该不发送相同的站点 该模块随附: 一个小的实用程序函数isSameSiteNoneCompatible ,用于为SameSite=None cookie属性检测不兼容的用户代理(浏览器)。 甲快递中间件shouldSendSameSiteNone用于自动地除去SameSite=None reqesting客户端时,从响应的头是不兼容SameSite=None 。 (注意:在适用的情况下,您仍然有责任添加“安全” cookie属性。) 背景 在2020年2月推出的Chrome 80中,Chrome会将未声明SameSite值的Cookie视为SameSite=Lax Cookie。 预计其他浏览器供应商将效仿Google的领导。 (请参阅此)。 如果您管理跨站点Cookie,则需要应用SameSite = None; 安全设置这些cookie。 但是,某些浏览器(包括某些版本的Chr
JAVA Spring使用外部属性文件
10-21
JAVA Spring使用外部属性文件,分享给需要的人,0.0。。
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
weixin_66709611的博客
03-13 1220
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
浏览器系列之 CookieSameSite 属性
小易不止于搬砖的博客
07-05 1246
Cookie 的设置、属性
Springboot应用中设置CookieSameSite属性
a595077052的专栏
08-26 3074
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
java解决web端系统内嵌跨越问题,Chrome 51 开始,浏览器的 Cookie增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
绚烂的天空
03-17 1870
CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,
Chrome 51 开始,浏览器的 Cookie增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
绚烂的天空
12-13 713
CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,
java(tomcat)如何设置cookie samesite属性
m0_67393157的博客
09-07 2257
自从Chrome搞了个cookie samesite属性弄了iframe跨域整合站点带来了麻烦,为了恢复cookie不被拦截需要设置cookie samesite属性=None,但发现javax.http.Cookie没有这个接口。增加后发现还是不得,还得设置cookie secure, 这个javax.http.cookie到有api,但随机的JSESSIONID还得通过在tomcat9/conf/web.xml。注:只支持tomcat8/9最新版本。同时开通https访问!
SpringBoot 为 Cookie 设置 SameSite
weixin_44951259的博客
11-13 1326
这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训。最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。
JAVAspringJava Spring开发电商完整平台
03-14
JAVAspringJava Spring开发电商完整平台 【实例简介】 Java Spring开发完整电商平台,SpringBoot框架基础打造的完整电商平台 【核心代码】 JavaSpring开发完整电商平台 └── Java Spring带前后端开发完整电商...
javaspring 培训教程 TP1.docx
03-24
Java Spring 是一个开源的、轻量级的、高效的开发框架, 它可以帮助Java 开发人员快速开发各种应用程序。它提供了一 些基本组件,如事务管理、 MVC 框架、 JDBC 、ORM 等,同时 也支持其他开源框架,比如 Hibernate ...
Java Spring 入门例子和代码
05-27
Java Spring 入门例子和代码 第1章:Spring 框架简介 Spring 是一个开源的Java平台,它提供了全面的基础设施支持,以便你可以专注于你的业务逻辑。Spring 框架最有名的是它的依赖注入(DI)功能,它允许你解耦应用...
CookieSameSite 属性
一劍傾城
07-29 1084
Chrome 51 开始,浏览器的 Cookie增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 2.1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换...
Springboot2.6以下版本对cookiesamesite设置的通用方法
aol_aog的专栏
12-23 1356
SpringBoot1.x及Springboot2.6以下版本如何解决cookiesamesite问题。
SpringBoot解决(谷歌Chrome) --SameSite属性
天上飞的云传奇
11-06 2159
转载自 https://springboot.io/t/topic/2602 早点看到就好了,按照之前的SpringBoot配置跨域,只有火狐可以通过。 谷歌和内核一样的Edge都失败了。 也是之前知道谷歌增加了个啥,可以通过配置浏览器解决。但是总不能每访问网站的人都 配置自己的浏览器吧 今天打开看了一下,发现有个警告 Edge报的警告。然后我搜到了这个文章。 方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=
Spring Web 的Cookie sameSite坑 跨域之坑
热门推荐
BoomMan
11-29 1万+
SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到, 他是防止 CSRF 攻击 具体可看 https://www.cnblogs.com/ziyunfei/p/5637945.html spring web 最新版默认生成为SameSite=Lax,奇怪的是用spring data Session redis 后 cookie新增了 Same...
spring
weixin_47520834的博客
09-17 781
Spring * 很重要 # 不重要 spring framework spring框架家族的学习路线 spring framework–>springWebMVC–>springboot–>springdata–>springSession–>springCloud 自己有兴趣可以看看spring serurity spring的概念:spring是一个控制反转和面向切面的容器,用来管理bean对象,同时根据bean对象的依赖关系进行动态注入bean。其他各
pyzmq-26.0.0b2-cp312-cp312-manylinux_2_28_x86_64.whl
最新发布
06-19
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
C++冒泡排序(基础内容)
06-19
1.循环两个变量:外层(轮数)、内层每轮的次数; 2.总轮数=元素长度-1=最大下标 3.每轮次数=元素长度-1-轮数=最大下标-轮数; 4.轮数(++),次数(++); 5.两两交换,大的放后面 冒泡排序基础内容,自学可用; 分为三个部分,推到过程,总结,题目样例 很详细,欢迎一起学习交流
javaspring
12-06
Java Spring是一个开源的轻量级应用框架,它可以用于构建企业级应用程序。Spring框架的主要优点包括:依赖注入和面向切面编程的支持、轻量级、可测试性、松散耦合等。Spring框架可以帮助开发人员更快地构建高质量的Java应用程序,并且可以减少开发时间和成本。Spring框架的核心是IoC容器,它可以管理应用程序中的对象并处理它们之间的依赖关系。Spring框架还提供了许多其他功能,例如Web框架、数据访问框架、安全框架等,这些功能可以帮助开发人员更轻松地构建各种类型的应用程序。 以下是一个简单的Java Spring示例,演示如何使用Spring框架创建一个简单的Hello World应用程序: 1.创建一个名为HelloWorld的Java类,实现MessageService接口: ```java public class HelloWorld implements MessageService { public String getMessage() { return "Hello World!"; } } ``` 2.创建一个名为MessageService的Java接口: ```java public interface MessageService { String getMessage(); } ``` 3.创建一个名为App的Java类,使用Spring框架创建HelloWorld对象并调用getMessage方法: ```java import org.springframework.context.ApplicationContext; import org.springframework.context.support.ClassPathXmlApplicationContext; public class App { public static void main(String[] args) { ApplicationContext context = new ClassPathXmlApplicationContext("applicationContext.xml"); MessageService service = (MessageService) context.getBean("messageService"); System.out.println(service.getMessage()); } } ``` 4.创建一个名为applicationContext.xml的Spring配置文件,配置HelloWorld对象: ```xml <beans> <bean id="messageService" class="HelloWorld"/> </beans> ``` 以上示例演示了如何使用Spring框架创建一个简单的Hello World应用程序。通过使用Spring框架,我们可以轻松地管理应用程序中的对象,并处理它们之间的依赖关系,从而更快地构建高质量的Java应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值