详解Springboot应⽤中设置Cookie的SameSite属性Cookie除了key和value以外有⼏个属性。
httpOnly是否允许js读取cookie
secure是否仅仅在https的链接下,才提交cookie
domain cookie提交的域
path cookie提交的path
maxAge cookie存活时间
sameSite同站策略,枚举值:Strict Lax None
其他的都很熟悉了,最后⼀个是 Chrome 51 开始,浏览器的 Cookie 新增加了⼀个SameSite属性,⽤来防⽌ CSRF 攻击和⽤户追踪。
关于SameSite的详细解释可以看
在Javaweb应⽤中,设置 Cookie⼀般都是⽤javax.servlet.http.Cookie,但是SameSite属性出来不久,Servlet库还没更新,所以没有设置SameSite的⽅法. javax.servlet.http.Cookie 中定义的的属性
可以看到,还没有SameSite的定义
//
// The value of the cookie itself.
private String name; // NAME= ... "$Name" style is reserved
private String value; // value of NAME
jsessionid
// Attributes encoded in the header's cookie fields.
private String comment; // ;Comment=VALUE ... describes cookie's use
// ;Discard ... implied by maxAge < 0
private String domain; // ;Domain=VALUE ... domain that sees cookie
private int maxAge = -1; // ;Max-Age=VALUE ... cookies auto-expire
private String path; // ;Path=VALUE ... URLs that see the cookie
private boolean secure; // ;Secure ... e.g. use SSL
private int version = 0; // ;Version=1 ... means RFC 2109++ style
private boolean isHttpOnly = false;
通过 ResponseCookie 给客户端设置Cookie
本质上,Cookie也只是⼀个header。我们可以不使⽤Cookie对象,⽽通过⾃定义Header的⽅式来给客户端设置Cookie。
ResponseCookie是Spring定义的⼀个Cookie构建⼯具类,极其简单
import java.time.Duration;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.http.HttpHeaders;
import org.springframework.http.ResponseCookie;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping
public class TestController {
@GetMapping("/test")
public Object test (HttpServletRequest request,
HttpServletResponse response) throws Exception {
ResponseCookie cookie = ResponseCookie.from("myCookie", "myCookieValue") // key & value
.httpOnly(true)  // 禁⽌js读取
.
secure(false)  // 在http下也传输
.domain("localhost")// 域名
.path("/")  // path
.maxAge(Duration.ofHours(1)) // 1个⼩时候过期
.sameSite("Lax") // ⼤多数情况也是不发送第三⽅ Cookie,但是导航到⽬标⽹址的 Get 请求除外
.build()
;
// 设置Cookie Header
response.setHeader(HttpHeaders.SET_COOKIE, String());
return "ok";
}
}
响应给客户端的Cookie
所有属性都响应正确 √
HttpSession Cookie 的SameSite属性
HttpSession依赖⼀个名称叫做JSESSIONID(默认名称)的Cookie。
对于JSESSIONID Cookie的设置,可以修改如下配置。但是,⽬前spring也没实现SameSite的配置项。
配置类: org.springframework.boot.web.servlet.server.Cookie
server.kiement
server.kie.domain
server.kie.http-only
server.kie.max-age
server.kie.name
server.kie.path
server.kie.secure
通过修改容器的配置,对Session Cookie设置SameSite属性
import at.util.http.Rfc6265CookieProcessor;
import at.util.http.SameSiteCookies;
import org.springframework.at.TomcatContextCustomizer;
import t.annotation.Bean;
import t.annotation.Configuration;
@Configuration
public class TomcatConfiguration {
@Bean
public TomcatContextCustomizer sameSiteCookiesConfig() {
return context -> {
final Rfc6265CookieProcessor cookieProcessor = new Rfc6265CookieProcessor();
// 设置Cookie的SameSite
cookieProcessor.setSameSiteCookies(Value());
context.setCookieProcessor(cookieProcessor);
};
}
}
Spring Session的SameSite属性
通过⾃定义CookieSerializer 设置SameSite属性
import t.annotation.Bean;
import t.annotation.Configuration;
import org.springframework.session.web.http.CookieSerializer;
import com.videomon.spring.session.DynamicCookieMaxAgeCookieSerializer;
@Configuration
public class SpringSessionConfiguration {
@Bean
public CookieSerializer cookieSerializer() {
DynamicCookieMaxAgeCookieSerializer serializer = new DynamicCookieMaxAgeCookieSerializer();
serializer.setCookieName("JSESSIONID");
serializer.setDomainName("localhost");
serializer.setCookiePath("/");
serializer.setCookieMaxAge(3600);
serializer.setSameSite("Lax");  // 设置SameSite属性
serializer.setUseHttpOnlyCookie(true);
serializer.setUseSecureCookie(false);
return serializer;
}
}
到此这篇关于Springboot应⽤中设置Cookie的SameSite属性的⽂章就介绍到这了,更多相关Springboot设置Cookie的SameSite属性内容请搜索以前的⽂章或继续浏览下⾯的相关⽂章希望⼤家以后多多⽀持!

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。