后端代码设置Samesite属性

原创 已于 2023-02-03 17:17:34 修改 · 4.1k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #后端
于 2022-03-05 14:00:06 首次发布
本文介绍了防御CSRF攻击的一种方法,即通过设置Cookie的SameSite属性。SameSite属性的默认值(unset)可能存在风险,而设置为'lax'或'strict'可以增强安全性。'lax'允许在GET请求中发送Cookie,而'strict'则完全禁止跨站Cookie。提供了两种设置方法:一是通过Tomcat的context.xml文件配置为'lax';二是使用过滤器在响应头中设置'SameSite=Lax'。了解并正确设置此属性对于Web应用的安全至关重要。

Samesite属性设置

目的:防御CSRF
Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。
SameSite的取值可以为:
(1)unset(默认)。这种情况浏览器可能会采用自己的策略。
(2)none。存在CSRF风险。
(2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
(3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie
进展:
方式一:tomcat8 及以上可以在 /conf/context.xml 文件里面的<Context>节点里加一个子节点

<Context>
   <CookieProcessor sameSiteCookies="lax" />
</Context

方式二:在过滤器中设置响应头

        String cookieHeader = req.getHeader("Cookie");
        if(cookieHeader != null) {      
        	 String[] cookiesHeaders = cookieHeader.split(";");
             boolean firstHeader = true;
         	 for (String header : cookiesHeaders) {
         		header = header.trim();
         		if(header != null) {
         			String[] headStr = header.split("=");
             		if(headStr[0].equals("名称")&&firstHeader) {
             			firstHeader = false;
             			resp.setHeader("Set-Cookie", String.format("%s; %s", header, "Path=/;HttpOnly=True;Secure=true;SameSite=Lax;"));
             		 }
         		}
              }
        }
SameSite Cookie 设置Java 中的理解与应用
CodeGu的博客
08-14 2274
通过设置 SameSite 属性为 “Strict” 或 “Lax”,我们可以确保浏览器不会在跨站点请求中发送 Cookie,从而有效地减少了 CSRF 攻击的风险。在 Java 中,我们可以使用 javax.servlet.http.Cookie 类来设置 SameSite 属性,并且对于不支持 SameSite 属性的浏览器,我们可以使用默认的。在上面的代码中,我们创建了一个名为 “myCookie” 的 Cookie,并将其 SameSite 属性设置为 “Strict”。通过在响应头部中添加。
Java中的SameSite Cookie理解与设置
TechWhizKid的博客
09-19 1649
通过设置Cookie的SameSite属性,我们可以选择限制Cookie是否可以随跨域请求发送到目标站点,并提高应用程序的安全性。None(无限制模式):当Cookie设置为None模式时,它可以随跨域请求发送到目标站点,即使是从不同的站点发送的。然而,为了确保安全性,设置为None模式的Cookie必须同时使用Secure属性,即只能通过HTTPS进行传输。在上面的代码中,我们首先创建了一个名为"myCookie"的Cookie,并设置了它的值为"example value"。如有疑问,请随时提问。
Tomcat 8.5.51升级避坑记:手把手教你配置Cookie SameSite属性,解决Chrome安全警告
最新发布
weixin_29314405的博客
03-28 128
本文详细介绍了Tomcat 8.5.51升级过程中如何配置Cookie SameSite属性以解决Chrome安全警告问题。从问题诊断到版本升级,再到SameSite属性的深度配置和验证,提供了全面的实战指南,帮助开发者有效应对浏览器安全策略变更带来的挑战。
彻底搞懂 Cookie SameSite 属性:从 Tomcat 到前端的全方位安全防护指南(2025 最新版)
专注于 Java 后端架构、微服务、分布式、前端及 AI 领域的技术分享,是开发者获取硬核知识、交流实战经验的专业博客。
08-01 1570
本文探讨了Cookie SameSite属性在2025年Web安全中的关键作用,并提供了全面的配置方案。文章指出未配置SameSite的Cookie存在严重安全隐患,可能导致CSRF攻击。解决方案涵盖后端Tomcat升级配置、自定义Java过滤器,以及前端JavaScript原生设置和封装工具库方法。针对不同技术栈,还提供了Django框架(未完整展示)等特定配置方案。通过RFC 6265和Chrome官方文档指导,帮助开发者从前后端全方位加强Cookie安全防护,确保用户数据安全。
统一认证,跨域cookie写入问题,修改sameSite
Thog_13的博客
06-21 1959
认证中心采用iframe嵌套业务平台的模式,进行oauth2.授权,跨域cookie写入问题。
SpringBoot 为 Cookie 设置 SameSite
weixin_44951259的博客
11-13 2886
这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训。最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。
chrome新版本禁用第三方cookie的SameSite问题
梅花屋
11-11 6099
1、 就是在chrome://flags/里设置禁用SameSite,(重启浏览器); 2、 后端进行设置 SameSite=none并且设置secure;(就是用https)(看后端框架能否支持此设置); 3、使用Nginx配置SameSite; Nginx的proxy_cookie_path功能,具体配置方法(在location节点下加入,配置后重载Nginx): 如果站点Cookie所在目录在根目录/下,设置如下: proxy_cookie_path / “/; secure; SameSite=N
后端ssm 前端ajax 跨域问题解决与引起的新的问题多次请求的sessionId不同
xiaojuge的博客
12-17 366
后端 跨域代码 import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** * @author jjl * @create 2020-05-08 10:29 */ public class SimpleCORSFilter implements Filter {
java cookie secure_加密会话(SSL)Cookie 中缺少 Secure 属性
weixin_33238272的博客
02-23 3492
加密会话(SSL)Cookie 中缺少 Secure 属性AppScan 发现加密会话(SSL)使用的是没有“secure”属性的 cookie。因为不想修改后端代码,因此希望能从nginx上将其修复。没修复之前没修复之前,这个cookie是没有secure参数的,如上图,上面的那些secure则是我在添加了一个 add_header Set-Cookie “Secure”; 获得的,虽然网上大部...
解决测试环境跨域cookie保存问题
sinat_27082629的博客
06-21 592
现在新版本chrome浏览器cookie新增一个属性SameSiteSameSite可以设置有三个值: Strict Lax None
java(tomcat)如何设置cookie samesite属性
m0_67393157的博客
09-07 3171
自从Chrome搞了个cookie samesite属性弄了iframe跨域整合站点带来了麻烦,为了恢复cookie不被拦截需要设置cookie samesite属性=None,但发现javax.http.Cookie没有这个接口。增加后发现还是不得,还得设置cookie secure, 这个javax.http.cookie到有api,但随机的JSESSIONID还得通过在tomcat9/conf/web.xml。注:只支持tomcat8/9最新版本。同时开通https访问!
Linux安装部署Tomcat服务器
qq_44424791的博客
10-25 837
Tomcat Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的...
tomcat
cwt0314的博客
08-30 361
文章目录1. tomcat简介2. tomcat项目部署2.1 java环境安装2.2 tomcat部署2.3 开启管理模块 1. tomcat简介 Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和J...
Chrome游览器改变SameSite设置
weixin_49847526的博客
11-07 9023
Chrome浏览器改变SameSite设置 Chrome 默认将没有设置SameSite设置SameSite=Lax SameSite取值 Strict Strict完全禁止第三方Cookie,跨站点时,任何情况下都不会发送Cookie Lax Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 None 网站可以选择显式关闭SameSite属性,将其设为None。 不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送)
Chrome 配置samesite=none方式
m0_67391907的博客
07-31 2115
Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。我们遇到的问题是从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失效。...
java解决web端系统内嵌跨越问题,Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
绚烂的天空
03-17 2598
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,
chrome 同站策略(samesite)问题及解决方案
热门推荐
左直拳的马桶_日用桶
01-08 3万+
一、同站策略问题 chrome自版本80之后,就出现了所谓同站策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的站点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
谷歌浏览器设置禁用samesite,IE浏览器设置禁用samesite
qq_36659553的博客
10-14 5411
谷歌: 1.谷歌浏览器打开chrome://flags/ 2.搜索samesite 3.SameSiteby default cookies项设置为Disabled即可 IE: 1.打开ie设置——Internet选项 2.隐私——接受所有的Cookies(滚动条到最下方即可)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值