溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Springboot應(yīng)用中如何設(shè)置Cookie的SameSite屬性

發(fā)布時(shí)間:2022-01-25 10:45:17 來(lái)源:億速云 閱讀:1035 作者:小新 欄目:開(kāi)發(fā)技術(shù)

這篇文章主要為大家展示了“Springboot應(yīng)用中如何設(shè)置Cookie的SameSite屬性”,內(nèi)容簡(jiǎn)而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“Springboot應(yīng)用中如何設(shè)置Cookie的SameSite屬性”這篇文章吧。

Cookie除了keyvalue以外有幾個(gè)屬性。

  • httpOnly 是否允許js讀取cookie

  • secure 是否僅僅在https的鏈接下,才提交cookie

  • domain cookie提交的域

  • path cookie提交的path

  • maxAge cookie存活時(shí)間

  • sameSite 同站策略,枚舉值:Strict Lax None

其他的都很熟悉了,最后一個(gè)是 Chrome 51 開(kāi)始,瀏覽器的 Cookie 新增加了一個(gè) SameSite 屬性,用來(lái)防止 CSRF 攻擊和用戶追蹤。

關(guān)于SameSite的詳細(xì)解釋 可以看 Cookie 的 SameSite 屬性

在Javaweb應(yīng)用中 ,設(shè)置 Cookie一般都是用 javax.servlet.http.Cookie,但是SameSite屬性出來(lái)不久,Servlet庫(kù)還沒(méi)更新,所以沒(méi)有設(shè)置SameSite的方法.

javax.servlet.http.Cookie 中定義的的屬性

可以看到,還沒(méi)有SameSite的定義

//
// The value of the cookie itself.

private String name; // NAME= ... "$Name" style is reserved
private String value; // value of NAME
// Attributes encoded in the header's cookie fields.
private String comment; // ;Comment=VALUE ... describes cookie's use
// ;Discard ... implied by maxAge < 0
private String domain; // ;Domain=VALUE ... domain that sees cookie
private int maxAge = -1; // ;Max-Age=VALUE ... cookies auto-expire
private String path; // ;Path=VALUE ... URLs that see the cookie
private boolean secure; // ;Secure ... e.g. use SSL
private int version = 0; // ;Version=1 ... means RFC 2109++ style
private boolean isHttpOnly = false;

通過(guò) ResponseCookie 給客戶端設(shè)置Cookie

本質(zhì)上,Cookie也只是一個(gè)header。我們可以不使用Cookie對(duì)象,而通過(guò)自定義Header的方式來(lái)給客戶端設(shè)置Cookie。

ResponseCookie 是Spring定義的一個(gè)Cookie構(gòu)建工具類,極其簡(jiǎn)單

import java.time.Duration;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.http.HttpHeaders;
import org.springframework.http.ResponseCookie;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping
public class TestController {
	
	@GetMapping("/test")
	public Object test (HttpServletRequest request,
					HttpServletResponse response) throws Exception {
		
		ResponseCookie cookie = ResponseCookie.from("myCookie", "myCookieValue") // key & value
				.httpOnly(true)		// 禁止js讀取
				.secure(false)		// 在http下也傳輸
				.domain("localhost")// 域名
				.path("/")			// path
				.maxAge(Duration.ofHours(1))	// 1個(gè)小時(shí)候過(guò)期
				.sameSite("Lax")	// 大多數(shù)情況也是不發(fā)送第三方 Cookie,但是導(dǎo)航到目標(biāo)網(wǎng)址的 Get 請(qǐng)求除外
				.build()
				;
		
		// 設(shè)置Cookie Header
		response.setHeader(HttpHeaders.SET_COOKIE, cookie.toString());
		
		return "ok";
	}
}

響應(yīng)給客戶端的Cookie

Springboot應(yīng)用中如何設(shè)置Cookie的SameSite屬性

所有屬性都響應(yīng)正確 &radic;

HttpSession Cookie 的SameSite屬性

HttpSession依賴一個(gè)名稱叫做JSESSIONID(默認(rèn)名稱)的Cookie。

對(duì)于JSESSIONID Cookie 的設(shè)置,可以修改如下配置。但是,目前spring也沒(méi)實(shí)現(xiàn)SameSite的配置項(xiàng)。

配置類 : org.springframework.boot.web.servlet.server.Cookie

server.servlet.session.cookie.comment
server.servlet.session.cookie.domain
server.servlet.session.cookie.http-only
server.servlet.session.cookie.max-age
server.servlet.session.cookie.name
server.servlet.session.cookie.path
server.servlet.session.cookie.secure

通過(guò)修改容器的配置,對(duì)Session Cookie設(shè)置SameSite屬性

import org.apache.tomcat.util.http.Rfc6265CookieProcessor;
import org.apache.tomcat.util.http.SameSiteCookies;
import org.springframework.boot.web.embedded.tomcat.TomcatContextCustomizer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class TomcatConfiguration {
	@Bean
	public TomcatContextCustomizer sameSiteCookiesConfig() {
		return context -> {
			final Rfc6265CookieProcessor cookieProcessor = new Rfc6265CookieProcessor();
			// 設(shè)置Cookie的SameSite
			cookieProcessor.setSameSiteCookies(SameSiteCookies.LAX.getValue());
			context.setCookieProcessor(cookieProcessor);
		};
	}
}

Spring Session的SameSite屬性

通過(guò)自定義 CookieSerializer 設(shè)置 SameSite屬性

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.session.web.http.CookieSerializer;

import com.video.common.spring.session.DynamicCookieMaxAgeCookieSerializer;
@Configuration
public class SpringSessionConfiguration {
	
	@Bean
	public CookieSerializer cookieSerializer() {
		DynamicCookieMaxAgeCookieSerializer serializer = new DynamicCookieMaxAgeCookieSerializer();
		serializer.setCookieName("JSESSIONID");
		serializer.setDomainName("localhost");
		serializer.setCookiePath("/");
		serializer.setCookieMaxAge(3600);
		serializer.setSameSite("Lax");  // 設(shè)置SameSite屬性
		serializer.setUseHttpOnlyCookie(true);
		serializer.setUseSecureCookie(false);
		return serializer;
	}
}

以上是“Springboot應(yīng)用中如何設(shè)置Cookie的SameSite屬性”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助,如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI