spring低版本设置cookie的samesite属性

最新推荐文章于 2024-08-21 15:28:25 发布
最新推荐文章于 2024-08-21 15:28:25 发布
阅读量184 收藏 2
点赞数 1
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43393995/article/details/141380463
版权

场景:比较古老的项目了,ssh架子,Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,可用于防止 CSRF 攻击和用户追踪。因此需要给其字段赋值。

网上找了很多资源,由于jar版本比较低,没有samesite字段,尝试过继承cookie重写类,修改tomcat配置等方式,均不可用;

查看了一些文档,最直接的方式试了下,可行:

private xxx xxx(){            
String sessionValue=((HttpServletRequest) request).getSession().getId();
			addSameSiteAttribute((HttpServletResponse)response,sessionValue);
			filter.doFilter(request, response);
}

//自定修改cookie某属性内容
private void addSameSiteAttribute(HttpServletResponse response,String sessionValue) {
	//如果需要修改多个cookie属性 使用	response.addHeader(),内容格式与下方一致
response.setHeader("Set-Cookie","JSESSIONID="+sessionValue+";Path=/imService;HttpOnly=true;Secure;SameSite=Strict");

	}

SameSite可以设置为三个属性strict,Lax,None

strict属性:该属性表示表示完全禁止第三方cookie,也就是在跨站时,均不会携带cookie,只有当前站点的url和访问的站点的url一致时,才能携带cookie。但是我们此时想一种情况,比如说当前站点A存在一个链接,链接到gitte网站,如果我们之前已经登录了gitte网站的话,则我们再次访问该网站时应该是处于登录状态的。但是我们对当前站点cookie设置了SameSite属性为strict值,所以当前跳转链接并不会携带cookie,所以我们的信息无法得到认证,此时就需要重新登录

Set-Cookie: CookieName=CookieValue; SameSite=strict;

Lax:该属性比strict的属性要宽松一些,其允许我们在跨站使用get请求时(不准确,比如ajaxget)携带cookie。(重定向和window.open 是get请求

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

None属性:chrome默认将Lax设置为默认值,此时我们可以更改samesite的值,将其设置为none,此时必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

Set-Cookie: widget_session=abc123; SameSite=None;Secure;

庞胖
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
cookie设置httpOnly和secure属性实现及问题
01-03
### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
Spring实战之设置普通属性值的方法示例
08-25
Spring框架中,设置普通属性值是通过XML配置文件或者注解的方式进行的。这篇实战教程将详细讲解如何使用XML配置文件为Bean设置属性值。首先,我们需要了解Spring的配置文件结构。 一、配置文件 Spring配置文件...
Spring Security2中设置Cookie的保存时间
05-24
这个文件包含了Spring Security的核心配置,包括访问控制、认证机制以及Cookie的相关设置。 在`spring-base.xml`中,我们可以通过以下方式来设置Cookie的保存时间: ```xml <!-- 其他配置 --> ...
Spring读取配置文件属性实现方法
08-19
Spring读取配置文件属性实现方法 在Spring框架中,读取配置文件属性是非常常见的需求。今天,我们将详细介绍Spring读取配置文件属性实现方法。 一、前言 在Spring框架中,有多种方式可以读取配置文件属性,本文将...
Spring Boot配置特定属性spring.profiles的方法
08-26
使用spring.profiles非常简单,只需在application.properties文件中添加一个名为spring.profiles.active的属性,并将其值设置为要加载的配置文件的名称。例如,如果我们想加载一个名为myProfileName的配置文件,那么...
spring揭秘06-Autowired自动绑定依赖及组件自动扫描
PacosonSWJTU的博客
08-16 623
Resource注解可以替代 @Autowired 与 @Qualilfier这2个注解结合的功能,即根据beanName到spring容器中查找匹配的bean,并注入依赖关系到当前bean(如Jsr250AnnotationBookAppService);
spring中使用到的设计模式有哪些
weixin_47503016的博客
08-12 456
spring 使用到的设计模式
【速览】Spring(更新中)
椰子的职场成长记录
08-19 174
1. IoC (Inversion of Control, 控制反转) 2. DI (Dependency Injection, 依赖注入) 3. AOP (Aspect-Oriented Programming, 面向切面编程) 4. MVC (Model-View-Controller, 模型-视图-控制器)
Spring 中AbstractApplicationContext
小湘西的博客
08-20 693
Spring Framework 中的一个抽象类,位于包中。它带有一系列的实现,主要用于为 Spring 的应用上下文提供基本的功能。所有的 Spring 应用上下文实现(如等)通常都直接或间接地扩展该类。
Spring 中AbstractRefreshableWebApplicationContext
小湘西的博客
08-21 610
Spring Framework 中用于 Web 应用程序的一个抽象类,位于包中。它继承自,主要用于支持 Web 应用程序的上下文管理。
用基础项目来理解spring的作用
weixin_64922330的博客
08-20 465
用基础项目来理解spring的作用
Java--SpringBoot工厂模式
qq_56438516的博客
08-20 667
Spring Boot是一个基于Spring框架的快速开发框架,它提供了许多便利的功能来简化企业级应用的开发。在Spring Boot中,工厂模式是一种常用的设计模式,它用于创建对象,但是不需要指定将要创建的具体类。工厂模式隐藏了实例化对象的具体细节,并且允许系统在不修改客户端代码的情况下引入新的类。
linux使用nginx部署springboot + vue分离项目
技术分享
08-20 75
linux使用nginx部署springboot + vue分离项目。
javaweb_08:Mybatis入门(基于Springboot)
qq_52200849的博客
08-17 630
JDBC:(java Database Connecttivity),就是使用java语言操作关系型数据库的一套API。本质是sun公司官方定义的一套操作所有关系型数据库的规范,即接口。各个数据库厂商实现这套接口,提供数据库驱动jar包。我们可以使用这套接口(JDBC)编程,真正执行的代码是驱动jar包中的实现类。@Test//1. 注册驱动//2. 获取连接对象//3. 获取执行SQL的对象Statement,执行SQL,返回结果//4. 封装结果数据。
VSCode搭建Hzero(SpringCloud架构)后端开发调试环境
X_ABU的博客
08-21 308
这里使用来实现远程监听5055端口,这个端口可以自定义,不冲突就可以,如果使用了,就添加 配置,Hzero很多模块都有使用,这点要注意。这里使用来执行 命令,当然这个命令可以直接在项目根目录直接执行,或者使用shell脚本,也可以使用VSCode的插件来执行,这里只是提供一个方法,这样方便添加其他的参数快速运行 配置launch.json 这里配置一个远程调试的配置 这里需要关注两个参数 : 这里配置运行任务的服务器,我们在本地运行,这里使用 : 要连接的端口,这里要和里配置的监听端口保持一致上面内容填写好
Spring中AbstractAutowireCapableBeanFactory
小湘西的博客
08-17 399
Spring 框架中的一个抽象类,位于包中。它实现了接口,提供了一些通用的方法和逻辑,以支持 Spring 中的自动装配功能。
Springboot 图片
最新发布
jonathan_joestar的博客
08-21 108
所以 url是这个的时候 http://127.0.0.1:9100/api/staticfiles/image/dd56a59d-da84-441a-8dac-1d97f9e42090.jpeg。因为 server.servlet.context-path: /api。配置代码的前面的 /api 是不要写的。Springboot 图片。
SpringBoot中使用拦截器
Annaday的博客
08-17 441
Interceptor(拦截器)是一种面向对象编程(OOP)和软件开发中广泛使用的设计模式,特别是基于请求-响应的应用程序中,如Web应用、RestfulAPI等。
如何使用 Java 记录简化 Spring Data 中的数据实体
08-20 351
Java 开发人员一直依赖Spring Data来实现高效的数据访问。但是,随着Java Records的引入,数据实体的管理方式发生了重大变化。在本文中,我们将讨论 Java Records 在 Spring Data 应用程序中的集成。我们将探讨使用 Java 记录创建健壮的数据实体的好处,并提供真实世界的示例来展示它们在 Spring Data 中的潜力。Java 记录的力量:概述J...
springboot设置cookie的httponly属性
04-30
Spring Boot是一种快速开发框架,可以让Wetbsite或者应用程序更加高效地设置Cookie设置Cookie时,可以追加httponly(HTTPOnly)属性。 HTTPOnly属性是一种保护Web应用程序的最佳做法。它可以确保Web浏览器只能在HTTP协议中查看和操作Cookie,而不允许JavaScript或其他脚本对它们进行访问,从而防止跨站脚本攻击(XSS)。 在Spring Boot中使用CookieHttpOnly工具类可以在设置Cookie时包含httponly属性。可以使用以下代码设置CookieHttpOnly属性: ```java Cookie cookie = new Cookie("name", "value"); cookie.setHttpOnly(true); ``` 当设置HttpOnly属性后,即使黑客已经使用XSS攻击将恶意脚本注入Web页面中,Cookie也将无法被JavaScript访问,从而阻止恶意攻击者从Cookie中获取您的敏感信息。因此,使用Spring Boot时,应该始终使用httponly属性来保护您的Web应用程序和数据的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

庞胖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值