httpservletrequest 设置header_Springboot中设置Cookie的SameSite属性

最新推荐文章于 2024-08-07 19:49:29 发布
最新推荐文章于 2024-08-07 19:49:29 发布
阅读量1.6k 收藏
点赞数
文章标签: httpservletrequest 设置header java设置cookie浏览器中没有

Cookie除了key和value以外有几个属性。

  • httpOnly 是否允许js读取cookie
  • secure 是否仅仅在https的链接下,才提交cookie
  • domain cookie提交的域
  • path cookie提交的path
  • maxAge cookie存活时间
  • sameSite 同站策略,枚举值:Strict Lax None

其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie 新增加了一个 SameSite 属性,用来防止 CSRF 攻击和用户追踪。

关于SameSite的详细解释 可以看 https://springboot.io/t/topic/1253(Cookie 的 SameSite 属性)

在Javaweb应用中 ,设置 Cookie一般都是用 javax.servlet.http.Cookie,但是SameSite属性出来不久,Servlet库还没更新,所以没有设置SameSite的方法.

javax.servlet.http.Cookie 中定义的的属性

可以看到,还没有SameSite的定义

 The value of the cookie itself.//private String name; // NAME= ... "$Name" style is reservedprivate String value; // value of NAME Attributes encoded in the header's cookie fields.//private String comment; // ;Comment=VALUE ... describes cookie's use// ;Discard ... implied by maxAge < 0private String domain; // ;Domain=VALUE ... domain that sees cookieprivate int maxAge = -1; // ;Max-Age=VALUE ... cookies auto-expireprivate String path; // ;Path=VALUE ... URLs that see the cookieprivate boolean secure; // ;Secure ... e.g. use SSLprivate int version = 0; // ;Version=1 ... means RFC 2109++ styleprivate boolean isHttpOnly = false;

通过 ResponseCookie 给客户端设置Cookie

本质上,Cookie也只是一个header。我们可以不使用Cookie对象,而通过自定义Header的方式来给客户端设置Cookie。

ResponseCookie 是Spring定义的一个Cookie构建工具类,极其简单

import java.time.Duration;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import org.springframework.http.HttpHeaders;import org.springframework.http.ResponseCookie;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;@RestController@RequestMappingpublic class TestController {@GetMapping("/test")public Object test (HttpServletRequest request,HttpServletResponse response) throws Exception {ResponseCookie cookie = ResponseCookie.from("myCookie", "myCookieValue") // key & value.httpOnly(true)// 禁止js读取.secure(false)// 在http下也传输.domain("localhost")// 域名.path("/")// path.maxAge(Duration.ofHours(1))// 1个小时候过期.sameSite("Lax")// 大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外.build();// 设置Cookie Headerresponse.setHeader(HttpHeaders.SET_COOKIE, cookie.toString());return "ok";}}

响应给客户端的Cookie

464adfaa81abe515f58aa86b2891978c.png

所有属性都响应正确 √

HttpSession Cookie 的SameSite属性

HttpSession依赖一个名称叫做JSESSIONID(默认名称)的Cookie。

对于JSESSIONID Cookie 的设置,可以修改如下配置。但是,目前spring也没实现SameSite的配置项。

配置类 : org.springframework.boot.web.servlet.server.Cookie

server.servlet.session.cookie.commentserver.servlet.session.cookie.domainserver.servlet.session.cookie.http-onlyserver.servlet.session.cookie.max-ageserver.servlet.session.cookie.nameserver.servlet.session.cookie.pathserver.servlet.session.cookie.secure

通过修改容器的配置,对Session Cookie设置SameSite属性

Tomcat

import org.apache.tomcat.util.http.Rfc6265CookieProcessor;import org.apache.tomcat.util.http.SameSiteCookies;import org.springframework.boot.web.embedded.tomcat.TomcatContextCustomizer;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;@Configurationpublic class TomcatConfiguration {@Beanpublic TomcatContextCustomizer sameSiteCookiesConfig() {return context -> {final Rfc6265CookieProcessor cookieProcessor = new Rfc6265CookieProcessor();// 设置Cookie的SameSitecookieProcessor.setSameSiteCookies(SameSiteCookies.LAX.getValue());context.setCookieProcessor(cookieProcessor);};}}

Spring Session的SameSite属性

通过自定义 CookieSerializer 设置 SameSite属性

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.session.web.http.CookieSerializer;import com.video.common.spring.session.DynamicCookieMaxAgeCookieSerializer;@Configurationpublic class SpringSessionConfiguration {@Beanpublic CookieSerializer cookieSerializer() {DynamicCookieMaxAgeCookieSerializer serializer = new DynamicCookieMaxAgeCookieSerializer();serializer.setCookieName("JSESSIONID");serializer.setDomainName("localhost");serializer.setCookiePath("/");serializer.setCookieMaxAge(3600);serializer.setSameSite("Lax");  // 设置SameSite属性serializer.setUseHttpOnlyCookie(true);serializer.setUseSecureCookie(false);return serializer;}}

首发:https://springboot.io/t/topic/2602

weixin_39832643
关注
Spring Boot学习总结(8)——SpringBoot Common application properties(application.properties)详解
科技D人生
05-05 3601
各种属性可以在您的application.properties/application.yml文件或命令行开关指定。下面提供了常见的Spring启动属性和引用它们的基础类的列表。 # =================================================================== # COMMON SPRING BOOT PROPERTIES # # T
SpringMVC的跨域请求配置解决方案
程序员光剑
08-05 1549
跨域(Cross-origin resource sharing)是由一个资源从一个域名访问另一个不同的域名而发生的一种行为。由于同源策略的限制,默认情况下浏览器禁止从不同域向当前域发送HTTP请求。跨域请求会受到各个浏览器厂商自己的处理方式不同,但浏览器为了保护用户信息不被盗用或篡改,一般都会阻止跨域请求,所以开发者需要在实际项目做一些额外的设置来允许跨域请求。以下就详细介绍一下Spring MVC对跨域请求的支持及其配置方法。
springboot 添加请求头(HttpServletRequestWrapper实现)
weixin_43931625的博客
03-20 1万+
springboot添加请求头(HttpServletRequestWrapper实现) ****************************** 相关类及接口 HttpServletRequestWrapper public class HttpServletRequestWrapper extends ServletRequestWrapper implements...
有关使用HttpServletRequestCookie设置和获取
scruffybear的专栏
09-07 2821
介绍了如何在HttpServletRequestCookie的进行设置和获取。
JAVA修改HttpServletRequestheader信息
最新发布
钟俊的个人博客
08-07 239
【代码】JAVA修改HttpServletRequestheader信息。
java 创建cookie_java – 使用HttpServletRequest创建一个cookie
weixin_39533280的博客
03-07 491
我已经创建了一个RenderingPlugin,用于WebSphere Portal,在将标记发送到客户端之前调用了服务器端.插件循环遍历所有cookie,如果找不到’test’,我想设置cookie.我知道这可以通过HttpServletResponse实现,但RenderingPlugin无法访问该对象.它只有一个HttpServletRequest.还有另一种方法吗?public clas...
Day42-HttpServletRequestCookie
GHY0911的博客
09-01 330
Day42-HttpServletRequestCookie
Springboot应用设置Cookie的SameSite属性
csdn_0xFFFF的博客
08-31 5288
Cookie除了key和value以外有几个属性httpOnly 是否允许js读取cookie secure 是否仅仅在https的链接下,才提交cookie domain cookie提交的域 path cookie提交的path maxAge cookie存活时间 sameSite 同站策略,枚举值:Strict Lax None 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器Cookie 新增加了一个 SameSite 属性,用来防止 CSRF 攻击和用户追踪。 关于S
SpringBoot properties通用属性配置大全
风起于青萍之末
03-23 2426
前言最近在公司使用SpringBoot进行服务的开发,但是坑的是公司不能访问外网就算了,eclipse还没有这个属性提示,稍不注意就要敲错了。而且配置那么多根本就记不住啊。这里从官方文档拷贝一份出来,方便在公司查看。# =================================================================== # COMMON SPRING BOOT P
SpringBoot接收参数相关注解
weixin_39158966的博客
03-20 559
SpringBoot接收客户端提交数据/参数会使用到相关注解详解@PathVariable、@RequestHeader、@ModelAttribute、@RequestParam、@CookieValue、@RequestBody在开发SpringBoot在响应客户端请求时也支持复杂参数Map、Model数据会被放在requestRedirectAttributes重定向携带数据在开发SpringBoot在响应客户端请求时,也支持自定义对象参数完成自动类型转换与格式化。
JAVAWEB-09:HttpServletRequest对象&会话管理之Cookie
04-01
JAVAWEB-09:HttpServletRequest对象&会话管理之Cookie
servlet设置cookies
Zw权的博客
04-01 376
package Server; import javax.servlet.ServletException; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http....
httpservletrequest 添加跨域cookie
chaochao132的博客
03-23 979
今天需要在用户登录后添加别的域的cookie,然后网上搜了一下,发现大多数写的都是一样,但是我测试就是不行。由于自己对cookie也不了解,所以只能接着看,然后发现了自己的cookie生成不了的原因。 下面的是我自己贴过来备用的, 原文地址请看[url]http://www.vinceruan.info/front/cross-domain-process-cookie-session/[/...
HttpServletRequest用户请求与cookie详解
Java
03-28 1万+
HttpServletRequest 用户请求对象 1.用户请求对象包含: 请求行 请求头 请求体 // 获取请求的网址 System.out.println(request.getRequestURL()); // http://localhost:8080/sh-web-servlet02/demo08 System.out.println(req...
HttpServletRequest:增删改查cookie
热门推荐
琦彦
11-02 1万+
什么是cookies: cookie实际上是一个存在你硬盘里的数据,但是这些数据很特殊,只能由web应用提交给浏览器帮助存储,并且我们还能读取浏览器存在本地的cookie web应用一般只在cookie存储一些用户信息等少量且暂时的数据,数据量大则不适合存储在cookies   cookie的操作: 添加cookie Cookie cookie = new Cookie(“”,...
servlet设置cookie实验
PacosonSWJTU的博客
11-12 763
【README】 本文旨在 通过servlet 设置cookie ,查看cookie长什么样子,来达到了解cookie的目的; cookie作用: 因为http协议是无状态的,要想维护web访问的状态,就需要使用专门的技术解决。cookie 是一种在客户端保持 http状态信息的技术; 浏览器第1次访问服务器时,传入个人信息,服务器把这些信息封装到cookie返回给客户端;(第1次访问,客户端没有传入 cookie浏览器第2次访问服务器时,会带着第1次服务器响应报文cookie 传给 服.
JavaWeb-09(HttpServletRequest对象&会话管理之Cookie)
faith_yee的专栏
04-01 3079
JAVAWEB-09:HttpServletRequest对象&会话管理之Cookie HttpServletRequest 一、HttpServletRequest对象: 代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头的所有信息都封装在这个对象,开发人员通过这个对象的方法,可以获得客户这些信息。 二、request常用方法 1、获得客户机信息 getR
怎么给http请求添加cookie
一日三餐
07-04 2441
Setting a cookie value in a request: 1. Values must be set prior to calling the connect method: URL myUrl = new URL("http://www.hccp.org/cookieTest.jsp"); URLConnection urlConn = myUrl.openConn...
httpservletrequest设置header
05-24
可以使用HttpServletRequest对象的setHeader(String name, String value)方法来设置HTTP请求头部的值。该方法需要传递两个参数,第一个参数为头部的名称,第二个参数为头部的值。例如,以下代码可以设置"Content-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值