SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。

已于 2024-03-13 10:34:13 修改
阅读量1.2k 收藏 7
点赞数 11
文章标签: spring boot 后端 java
于 2024-03-13 10:30:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66709611/article/details/136673004
版权 
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
注意:在设置 SameSite 为 None 的同时,需要保证使用 HTTPS 协议,否则会导致安全问题。
server:
  port: 8889
  servlet:
    session:
      cookie.sameSite: None
      cookie.secure: true

"samesite=none; secure" 是用于设置 HTTP Cookie 的参数。这个参数的作用是增强安全性和保护用户隐私。首先,samesite=none 的意思是允许跨站点发送 Cookie。在默认情况下,Cookie 只能在同一站点的请求中发送,不能用于跨站点操作。然而,某些场景,如用户进行第三方登录、使用社交媒体分享功能时,需要允许跨站点发送 Cookie。samesite=none 使得 Cookie 可以在跨站点请求中使用,提高了用户体验和功能可用性。其次,secure 表示 Cookie 的安全传输要求。只有当设置 secure 参数时,浏览器只会在使用 HTTPS 加密连接时将 Cookie 发送到服务器。HTTPS 是一种安全的加密协议,使用它可以保护用户数据在传输过程中的安全性,防止中间人攻击和窃取用户敏感信息。

另外为了防止XSS攻击建议可以将

server:
  port: 8889
  servlet:
    session:
      cookie.sameSite: None
      cookie.secure: true
      cookie.httpOnly: true

这里的cookie.httpOnly: true设置为true,为了防止JS脚本获取到cookie的值

球场传说蔡徐坤
关注
  • 11
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于解决Chrome新版本中cookie域携带和samesite的问题处理
白起的博客
03-18 3万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
后端分离部署情况下,cookie失效问题之chrome浏览器SameSite问题
z974251478的博客
04-20 2638
项目基于前后端分离部署,其中会涉及域及会话问题,项目对使用cors解决,对会话不一致问题使用了redis解决。这次遇到的问题是基于chrome浏览器SameSite出现的cookie失效。
set-content-type:设置给定请求和响应对象的 Content-Type 标头
07-10
设置内容类型 设置给定请求和响应对象的 Content-Type 标头 安装 $ npm install set-content-type 用法 var setContentType = require ( 'set-content-type' ) setContentType ( request , response )
如何在Chrome浏览器中临时修改SameSite=None和Secure
pocher的博客
06-13 1343
如何在Chrome浏览器中临时修改SameSite=None和Secure
bug记录:修改hosts产生的关于cookie的大坑
小K程序员的博客
11-04 408
由于我在windows的hosts文件中将我的服务器的ip地址做了简写,导致在发送请求时产生域问题,使得cookie无法传递,导致登录信息始终无法获取到。
chrome更新到80以上版本后,带来的域请求cookie丢失问题
qq_26094091的博客
06-03 3619
chrome更新到80以上版本后,带来的域请求cookie丢失问题 cookie的SameSite属性默认值由None变为Lax 此时可以尝试显式声明 Cookie 的SameSite属性为None,并设置Secure (不然无效)。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 更多参考:谷歌浏览器 Cookie 的 SameSite 属性 (转) 它可以设置三个值。 Strict Lax None None Chrome 计划将Lax变为默认设置(80版本已实施
【vue】域警告“此Set-Cookie标头未指定‘SameSite届性,它默认为‘SameSite=Lax必须为此SetCookie设置“SameSite=None“才能实现站点使用。”
九琼的博客
04-01 5740
Set-Cookie标头未指定’SameSite"届性,它默认为’SameSite=Lax,"并被阻止,因为它来自站点响应,而不是对顶级导航的响应。必须为此SetCookie设置"SameSite=None“才能实现站点使用。不说了,这个困扰了我两天的问题,找了个大佬半分钟给我改好了。改完之后关闭项目,重新npm run dev一下,就好了。
SpringBootCookie 设置 SameSite
weixin_44951259的博客
11-13 1346
这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训。最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。
springboot cookie增加SameSite=None;Secure属性
路过君的博客
05-14 7179
依赖
Springboot应用中设置Cookie的SameSite属性,域支持
seapeak007的博客
02-07 9843
转自:Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
set-cookie-parser:用于解析 HTTP set-cookie 标头的 Node.js 库
07-24
set-cookie 标头解析为对象 接受单个set-cookie标头值、一组set-cookie标头值或可能具有 0 个或多个set-cookie标头的 Node.js 响应对象。 还接受一个可选的选项对象。 默认值: { decodeValues : true , // ...
-iOS_Set_Cookie_Bug_external_service:外接程序可以调用的外部服务,该服务将设置cookie,然后尝试在另一页上输出设置cookie。 这是为了说明iOS Set-Cookie问题
03-28
端点将读取传递给它的查询参数'returnUrl'并将Set-Cookie标头传递给客户端,且'ReturnUrl'设置为该指定值。 例如 登陆页面会将ReturnUrl cookie设置为值“ ”,然后重定向到“读取”页面,该页面应输出该域当前...
fastify-csp:固定插件以设置Content-Security-Policy标头
05-08
固定插件以设置Content-Security-Policy标头。 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 该插件已通过...
X-Frame-Options头未设置 防止网页被iframe内框架调用
01-20
描述: 目标服务器没有返回一个X-Frame-Options头。 ... 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上...解决方案: 修改web服务器配置,添加X-frame-options响应头。赋值
Springboot JSESSIONID 设置 SameSite 属性为 NONE
星光的博客
06-02 5649
application.yml server: servlet: session: cookie: secure: true
This set-cookie didn‘t specify a ‘SameSite‘ attribute and was defaulted to ‘SameSite=lax
最新发布
神zhi殇的博客
03-06 1428
它返回一个设置Cookie的响应,而且该Cookie未指定SameSite属性,浏览器就会发出这个警告。本地登录某个项目系统的时候,login成功,但是login的接口的set-cookie有感叹号,后续的接口并没有携带cookie,导致401登录系统失败。这可能导致站点Cookie在某些情况下被阻止,因为默认情况下,浏览器要求Cookie只能在顶级导航的响应中进行设置,否则就要求设置。: SameSite属性是Cookie的一个属性,用于控制Cookie站点请求中是否被发送。
谷歌浏览器80版本以后,如何处理出现的问题SameSite域问题
pocher的博客
06-13 526
谷歌浏览器80版本以后,如何处理出现的问题SameSite域问题
Chrome游览器改变SameSite设置
weixin_49847526的博客
11-07 8210
Chrome浏览器改变SameSite设置 Chrome 默认将没有设置SameSite设置为SameSite=Lax SameSite取值 Strict Strict完全禁止第三方Cookie站点时,任何情况下都不会发送Cookie Lax Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 None 网站可以选择显式关闭SameSite属性,将其设为None。 不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送)
Chrome浏览器中接口set-cookie未加SameSite=None导致cookie设置失效,无法登录
热门推荐
onlyliii的博客
08-28 1万+
方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=value; Secure 方法二:使用Chrome浏览器打开 chrome://flags/#same-site-by-default-cookies 把SameSite by default cookies设置为disabled,重启浏览器即可正常使用 参考资料:https://www.zhihu.com/question/373011...
浏览器中有多个Set-Cookie怎么把Set-Cookie的属性SameSite设置成STRICT
07-14
要将Set-Cookie属性SameSite设置为STRICT,您可以通过在Set-Cookie标头中包含"SameSite=Strict"来实现。如果浏览器中有多个Set-Cookie标头,您需要为每个Set-Cookie标头分别设置SameSite属性。 例如,在JavaScript中,您可以使用document.cookie设置Set-Cookie标头: ```javascript document.cookie = "cookie1=value1; SameSite=Strict"; document.cookie = "cookie2=value2; SameSite=Strict"; ``` 在服务器端,您可以使用相应的编程语言(如Python、Java或PHP)设置响应标头中的Set-Cookie值: Python示例: ```python response.set_cookie('cookie1', 'value1', samesite='Strict') response.set_cookie('cookie2', 'value2', samesite='Strict') ``` Java示例: ```java response.addHeader("Set-Cookie", "cookie1=value1; SameSite=Strict"); response.addHeader("Set-Cookie", "cookie2=value2; SameSite=Strict"); ``` PHP示例: ```php header('Set-Cookie: cookie1=value1; SameSite=Strict'); header('Set-Cookie: cookie2=value2; SameSite=Strict'); ``` 这样,浏览器在接收到这些Set-Cookie标头时,会将它们的SameSite属性设置为STRICT。请注意,不同编程语言和框架可能有不同的方法来设置响应标头中的Set-Cookie值。请根据您使用的编程语言和框架进行相应的调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值