SpringBoot 为 Cookie 设置 SameSite

最新推荐文章于 2024-03-13 10:30:28 发布
最新推荐文章于 2024-03-13 10:30:28 发布
阅读量1k 收藏 3
点赞数
文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44951259/article/details/134373116
版权

最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告某些 Cookie 滥用推荐的“SameSite“属性

使用以下代码设置 Cookie 的同时设置 SameSite 属性即可

ResponseCookie responseCookie = ResponseCookie.from(key, value)
                // 设置 HttpOnly
                .httpOnly(true)
                // 设置 SameSite 为 Lax,不依赖浏览器默认行为
                .sameSite("Lax")
                // 设置 Cookie 路径为网站根路径
                .path("/")
                // 设置过期时间(单位:秒)
                .maxAge(maxAge)
                // 为 https 访问开启 secure
                .secure(request.isSecure())
                .build();

response.addHeader(HttpHeaders.SET_COOKIE, responseCookie.toString());

注意!这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训
具体看这篇文章:
记一次 新增 / 删除 Cookie 未生效的 BUG

泞淖
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot解决跨域问题的五种方案
2301_78992368的博客
10-23 173
出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。所以,用最简单的话来说,就是前端可以发请求给服务器,服务器也可以进行响应,只是因为浏览器会对请求头进行判断,所以要么前端设置请求头,要么后端设置请求头。同源,就是咱们域名、端口号、ip、采用的协议都相同,那么我们就是同源的。
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Spring Boot 2.6 正式发布:循环依赖默认禁止、增加SameSite属性...
码农code之路
11-20 1885
昨天,Spring官方正式发布了Spring Boot今年最后一个特性版本:2.6.0同时,也宣布了2.4.x版本的终结。那么这个新版本又带来了哪些新特性呢?下面就一起跟着DD来看看吧!重...
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
最新发布
weixin_66709611的博客
03-13 849
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
Springboot应用中设置Cookie的SameSite属性
a595077052的专栏
08-26 3038
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
Springboot JSESSIONID 设置 SameSite 属性为 NONE
星光的博客
06-02 5577
application.yml server: servlet: session: cookie: secure: true
Springboot应用中设置Cookie的SameSite属性,跨域支持
seapeak007的博客
02-07 9572
转自:Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
Springboot2.6以下版本对cookie的samesite设置的通用方法
aol_aog的专栏
12-23 1049
SpringBoot1.x及Springboot2.6以下版本如何解决cookie的samesite问题。
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 8991
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
SpringBoot中使用Cookie实现记住登录的示例代码
08-18
主要介绍了SpringBoot中使用Cookie实现记住登录的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie: 要求 PHP 7.2+或8.0+ 安装 composer require selective/samesite-cookie SameSite Cookie 相同站点的cookie(“仅第一方”或“第一方”)使服务器断言特定的cookie只应与从同一可注册域发起的请求一起发送,从而减轻CSRF和信息泄漏攻击的风险。 警告: SameSite Cookie根本不适用于旧版浏览器,也不适用于某些Mobil浏览器,例如IE 10,Blackberry,Opera Mini,IE Mobile,适用于Android的UC浏览器。 可以在此处找到更多详细信息: Slim 4整合 <?php use Selective \ SameSiteCookie \ SameSiteCoo
samesite cookie安全特性
01-07
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 https://textslashplain.com/2019/09/30/same-site-cookies-by-default/ 这个特性会导致: 1、web开发者需要重新考虑某些跨域读取数据功能 2、依靠third-party cookie的广告商(比如)可能行不通了 3、CSRF(跨站请求伪造)web安全漏洞不复存在了 chrome浏览器上查看 如果网站需要跨域分享数据,则设置相关cookie的samesite属性为none 作者:深入浅出0
Springboot中登录后关于cookie和session拦截问题的案例分析
09-07
主要介绍了Springboot中登录后关于cookie和session拦截案例,本文通过实例图文相结合给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
springboot cookie 开发案例
11-27
登入访问页面 http://localhost:8080/login 实现cookie初始化 设置超时时间为 60 秒 2. 初始化cookie之后,可以访问http://localhost:8080/index 3. http://localhost:8080/logout 注销cookie信息 /QS_001/src/...
SpringBoot+vue 在后端给浏览器设置cookie
01-03
前端的vue项目在这里我使用的是axios插件发请求,首先设置 //表示跨域请求时使用凭证 axios.defaults.withCredentials = true //向后端发送一个请求,用于获取cookie this.axios.get(/setCookies) .then(res =>{ ...
SpringBootCookie sameSite之坑
weixin_38296425的博客
12-30 2724
CSDN上很多文章给出了解决Cookie sameSite坑跨域之坑的解决办法,但是都忽略了一个问题,没有给出相关的依赖,我也是费了不少劲终于找到了解决办法,在这里记录下来。 例如下面的代码: @Configuration public class TomatConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer =
具有不安全、不正确或缺少SameSite属性的Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
springboot web如何将SameSite设置为None
06-07
Spring Boot 中,可以通过配置 `server.servlet.session.cookie.same-site` 属性来设置 SameSite 属性的值。在 `application.properties` 文件中添加以下配置即可: ``` server.servlet.session.cookie.same-site=None ``` 注意:在设置 SameSite 为 None 的同时,需要保证使用 HTTPS 协议,否则会导致安全问题。因此,还需要通过配置 `server.ssl.enabled=true` 来启用 HTTPS。 另外,为了防止XSS攻击,建议将 `server.servlet.session.cookie.http-only` 属性设置为 true,防止 JavaScript 脚本获取到 Cookie 的值。例如: ``` server.servlet.session.cookie.http-only=true ``` 配置完成后,重新启动应用程序,即可使 SameSite 属性设置为 None。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值