Springboot应用中设置Cookie的SameSite属性，跨域支持

本文主要是介绍Springboot应用中设置Cookie的SameSite属性，跨域支持，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

reponse设置Header的方式设置cookie，具体代码如下：

ResponseCookie cookie = ResponseCookie.from(CommonConstant.TOKEN_HEADER, oAuth2AccessToken.getValue()) // key & value.httpOnly(true)		// 禁止js读取.secure(true)		// 在http下也传输
//                    .domain("localhost")// 域名.path("/")			// path.maxAge(clientDetails.getAccessTokenValiditySeconds())	// 有效期.sameSite("None")	// 大多数情况也是不发送第三方 Cookie，但是导航到目标网址的 Get 请求除外.build();// 设置Cookie Headerresponse.setHeader(HttpHeaders.SET_COOKIE, cookie.toString());

需要注意如果要设置sameSite的值为None，必须得设置secure为true，否则cookie设置不成功。如果设置为Lax，则不需要设置secure。

secure设置为true了后，请求仅支持https请求了，http请求不支持了。

转自：Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园

Cookie除了key和value以外有几个属性。

• httpOnly 是否允许js读取cookie
• secure 是否仅仅在https的链接下，才提交cookie
• domain cookie提交的域
• path cookie提交的path
• maxAge cookie存活时间
• sameSite 同站策略，枚举值：Strict Lax None

其他的都很熟悉了，最后一个是 Chrome 51 开始，浏览器的 Cookie 新增加了一个 SameSite 属性，用来防止 CSRF 攻击和用户追踪。

关于SameSite的详细解释 可以看 Cookie 的 SameSite 属性

在Javaweb应用中 ，设置 Cookie一般都是用 javax.servlet.http.Cookie，但是SameSite属性出来不久，Servlet库还没更新，所以没有设置SameSite的方法.

javax.servlet.http.Cookie 中定义的的属性

可以看到，还没有SameSite的定义

//
// The value of the cookie itself.
//private String name; // NAME= ... "$Name" style is reserved
private String value; // value of NAME//
// Attributes encoded in the header's cookie fields.
//private String comment; // ;Comment=VALUE ... describes cookie's use
// ;Discard ... implied by maxAge < 0
private String domain; // ;Domain=VALUE ... domain that sees cookie
private int maxAge = -1; // ;Max-Age=VALUE ... cookies auto-expire
private String path; // ;Path=VALUE ... URLs that see the cookie
private boolean secure; // ;Secure ... e.g. use SSL
private int version = 0; // ;Version=1 ... means RFC 2109++ style
private boolean isHttpOnly = false;

通过 ResponseCookie 给客户端设置Cookie

本质上，Cookie也只是一个header。我们可以不使用Cookie对象，而通过自定义Header的方式来给客户端设置Cookie。

ResponseCookie 是Spring定义的一个Cookie构建工具类，极其简单

import java.time.Duration;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;import org.springframework.http.HttpHeaders;
import org.springframework.http.ResponseCookie;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;@RestController
@RequestMapping
public class TestController {@GetMapping("/test")public Object test (HttpServletRequest request,HttpServletResponse response) throws Exception {ResponseCookie cookie = ResponseCookie.from("myCookie", "myCookieValue") // key & value.httpOnly(true)		// 禁止js读取.secure(false)		// 在http下也传输.domain("localhost")// 域名.path("/")			// path.maxAge(Duration.ofHours(1))	// 1个小时候过期.sameSite("Lax")	// 大多数情况也是不发送第三方 Cookie，但是导航到目标网址的 Get 请求除外.build();// 设置Cookie Headerresponse.setHeader(HttpHeaders.SET_COOKIE, cookie.toString());return "ok";}
}

响应给客户端的Cookie

所有属性都响应正确 √

HttpSession Cookie 的SameSite属性

HttpSession依赖一个名称叫做JSESSIONID（默认名称）的Cookie。

对于JSESSIONID Cookie 的设置，可以修改如下配置。但是，目前spring也没实现SameSite的配置项。

配置类 ： org.springframework.boot.web.servlet.server.Cookie

server.servlet.session.cookie.comment
server.servlet.session.cookie.domain
server.servlet.session.cookie.http-only
server.servlet.session.cookie.max-age
server.servlet.session.cookie.name
server.servlet.session.cookie.path
server.servlet.session.cookie.secure

通过修改容器的配置，对Session Cookie设置SameSite属性

Tomcat

import org.apache.tomcat.util.http.Rfc6265CookieProcessor;
import org.apache.tomcat.util.http.SameSiteCookies;
import org.springframework.boot.web.embedded.tomcat.TomcatContextCustomizer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;@Configuration
public class TomcatConfiguration {@Beanpublic TomcatContextCustomizer sameSiteCookiesConfig() {return context -> {final Rfc6265CookieProcessor cookieProcessor = new Rfc6265CookieProcessor();// 设置Cookie的SameSitecookieProcessor.setSameSiteCookies(SameSiteCookies.LAX.getValue());context.setCookieProcessor(cookieProcessor);};}
}

Spring Session的SameSite属性

通过自定义 CookieSerializer 设置 SameSite属性

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.session.web.http.CookieSerializer;import com.video.common.spring.session.DynamicCookieMaxAgeCookieSerializer;@Configuration
public class SpringSessionConfiguration {@Beanpublic CookieSerializer cookieSerializer() {DynamicCookieMaxAgeCookieSerializer serializer = new DynamicCookieMaxAgeCookieSerializer();serializer.setCookieName("JSESSIONID");serializer.setDomainName("localhost");serializer.setCookiePath("/");serializer.setCookieMaxAge(3600);serializer.setSameSite("Lax");  // 设置SameSite属性serializer.setUseHttpOnlyCookie(true);serializer.setUseSecureCookie(false);return serializer;}
}

这篇关于Springboot应用中设置Cookie的SameSite属性，跨域支持的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---