详解Springboot应用中设置Cookie的SameSite属性

更新时间：2022年01月25日 08:49:07 作者：KevinBlandy

Chrome 51 开始，浏览器的 Cookie 新增加了一个SameSite属性，用来防止 CSRF 攻击和用户追踪。今天通过本文给大家介绍Springboot应用中设置Cookie的SameSite属性，感兴趣的朋友一起看看吧

Cookie除了key和value以外有几个属性。

httpOnly 是否允许js读取cookie
secure 是否仅仅在https的链接下，才提交cookie
domain cookie提交的域
path cookie提交的path
maxAge cookie存活时间
sameSite 同站策略，枚举值：Strict Lax None

其他的都很熟悉了，最后一个是 Chrome 51 开始，浏览器的 Cookie 新增加了一个 SameSite 属性，用来防止 CSRF 攻击和用户追踪。

关于SameSite的详细解释可以看 Cookie 的 SameSite 属性

在Javaweb应用中，设置 Cookie一般都是用 javax.servlet.http.Cookie，但是SameSite属性出来不久，Servlet库还没更新，所以没有设置SameSite的方法.

javax.servlet.http.Cookie 中定义的的属性

可以看到，还没有SameSite的定义

//
// The value of the cookie itself.

private String name; // NAME= ... "$Name" style is reserved
private String value; // value of NAME
// Attributes encoded in the header's cookie fields.
private String comment; // ;Comment=VALUE ... describes cookie's use
// ;Discard ... implied by maxAge < 0
private String domain; // ;Domain=VALUE ... domain that sees cookie
private int maxAge = -1; // ;Max-Age=VALUE ... cookies auto-expire
private String path; // ;Path=VALUE ... URLs that see the cookie
private boolean secure; // ;Secure ... e.g. use SSL
private int version = 0; // ;Version=1 ... means RFC 2109++ style
private boolean isHttpOnly = false;

通过 ResponseCookie 给客户端设置Cookie

本质上，Cookie也只是一个header。我们可以不使用Cookie对象，而通过自定义Header的方式来给客户端设置Cookie。

ResponseCookie 是Spring定义的一个Cookie构建工具类，极其简单

import java.time.Duration;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.http.HttpHeaders;
import org.springframework.http.ResponseCookie;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping
public class TestController {
	
	@GetMapping("/test")
	public Object test (HttpServletRequest request,
					HttpServletResponse response) throws Exception {
		
		ResponseCookie cookie = ResponseCookie.from("myCookie", "myCookieValue") // key & value
				.httpOnly(true)		// 禁止js读取
				.secure(false)		// 在http下也传输
				.domain("localhost")// 域名
				.path("/")			// path
				.maxAge(Duration.ofHours(1))	// 1个小时候过期
				.sameSite("Lax")	// 大多数情况也是不发送第三方 Cookie，但是导航到目标网址的 Get 请求除外
				.build()
				;
		
		// 设置Cookie Header
		response.setHeader(HttpHeaders.SET_COOKIE, cookie.toString());
		
		return "ok";
	}
}

响应给客户端的Cookie

所有属性都响应正确 √

HttpSession Cookie 的SameSite属性

HttpSession依赖一个名称叫做JSESSIONID（默认名称）的Cookie。

对于JSESSIONID Cookie 的设置，可以修改如下配置。但是，目前spring也没实现SameSite的配置项。

配置类： org.springframework.boot.web.servlet.server.Cookie

server.servlet.session.cookie.comment
server.servlet.session.cookie.domain
server.servlet.session.cookie.http-only
server.servlet.session.cookie.max-age
server.servlet.session.cookie.name
server.servlet.session.cookie.path
server.servlet.session.cookie.secure

通过修改容器的配置，对Session Cookie设置SameSite属性

import org.apache.tomcat.util.http.Rfc6265CookieProcessor;
import org.apache.tomcat.util.http.SameSiteCookies;
import org.springframework.boot.web.embedded.tomcat.TomcatContextCustomizer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class TomcatConfiguration {
	@Bean
	public TomcatContextCustomizer sameSiteCookiesConfig() {
		return context -> {
			final Rfc6265CookieProcessor cookieProcessor = new Rfc6265CookieProcessor();
			// 设置Cookie的SameSite
			cookieProcessor.setSameSiteCookies(SameSiteCookies.LAX.getValue());
			context.setCookieProcessor(cookieProcessor);
		};
	}
}

Spring Session的SameSite属性

通过自定义 CookieSerializer 设置 SameSite属性

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.session.web.http.CookieSerializer;

import com.video.common.spring.session.DynamicCookieMaxAgeCookieSerializer;
@Configuration
public class SpringSessionConfiguration {
	
	@Bean
	public CookieSerializer cookieSerializer() {
		DynamicCookieMaxAgeCookieSerializer serializer = new DynamicCookieMaxAgeCookieSerializer();
		serializer.setCookieName("JSESSIONID");
		serializer.setDomainName("localhost");
		serializer.setCookiePath("/");
		serializer.setCookieMaxAge(3600);
		serializer.setSameSite("Lax");  // 设置SameSite属性
		serializer.setUseHttpOnlyCookie(true);
		serializer.setUseSecureCookie(false);
		return serializer;
	}
}

首发：https://springboot.io/t/topic/2602

到此这篇关于Springboot应用中设置Cookie的SameSite属性的文章就介绍到这了,更多相关Springboot设置Cookie的SameSite属性内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

使用java8的方法引用替换硬编码的示例代码
这篇文章主要介绍了使用java8的方法引用替换硬编码,本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2020-09-09
SpringCloud超详细讲解微服务网关Zuul基础
这篇文章主要介绍了SpringCloud Zuul微服务网关，负载均衡，熔断和限流，本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2022-10-10
java多线程编程之使用runnable接口创建线程
实现Runnable接口的类必须使用Thread类的实例才能创建线程,通过Runnable接口创建线程分为以下两步
2014-01-01
MyBatis中的N+1问题的解决方法
本文主要介绍了MyBatis中的N+1问题的四种解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2024-12-12
redis incr和incrBy的使用说明
这篇文章主要介绍了redis incr和incrBy的使用说明，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2020-11-11
DolphinScheduler容错Master源码分析
这篇文章主要为大家介绍了DolphinScheduler容错Master源码分析，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2023-02-02
在idea环境下构建springCloud项目
本篇文章主要介绍了在idea环境下构建springCloud项目，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-11-11
Java Http接口加签、验签操作方法
下面小编就为大家带来一篇Java Http接口加签、验签操作方法。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2016-11-11
java Lambda表达式的使用心得
这篇文章主要介绍了java Lambda表达式的使用心得，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-10-10
深入理解Java之HashMap源码剖析
这篇文章主要介绍了深入理解Java之HashMap源码剖析，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-02-02