Springboot2.6以下版本对cookie的samesite设置的通用方法

2023-12-24 13:52

本文主要是介绍Springboot2.6以下版本对cookie的samesite设置的通用方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

      通过安全扫描工具对spring技术栈开发的应用进行漏洞检查时,通常会扫描出关于cookie相关的漏洞,其中一个是: Cookie without SameSite attribute,对于其描述通常如下: 

When cookies lack the SameSite attribute, Web browsers may apply different and

sometimes unexpected defaults. It is therefore recommended to add a SameSite
attribute with an appropriate value of either "Strict", "Lax", or "None".
       由于 Java Servlet 3.x/4.0 规范不支持 SameSite cookie 属性,所以要解决此类问题没有一个统一的方式。 如何解决此问题呢? 大家在网上找到的解决方案有三类:
1.  Nginx或APACHE SERVER这些代理服务器上设置:
    以nginx为例:proxy_cookie_path / "/; httponly; secure; SameSite=Lax";
2.  在添加完cookie时,加下如下代码:
 Cookie cookie = new Cookie("test_001", UriUtils.encode("123457890", "UTF-8"));cookie.setPath("/");cookie.setMaxAge(-1);cookie.setHttpOnly(true);
Collection<String> headers = response.getHeaders(HttpHeaders.SET_COOKIE);boolean firstHeader = true;for (String header : headers) { // there can be multiple Set-Cookie attributesif (firstHeader) {response.setHeader(HttpHeaders.SET_COOKIE, String.format("%s; SameSite=%s", header, this.cookieSameSite));firstHeader = false;continue;}response.addHeader(HttpHeaders.SET_COOKIE, String.format("%s; SameSite=%s", header, this.cookieSameSite));}

3. 对于springboot2.6及以上版本,设置:server.session.cookie.same-site=LAX

但对于springboot2.6以下版本来说,利用spring security本身的机制解决此问题没有统一的方式。考虑到spring在写http header时利用了org.springframework.security.web.header.HeaderWriter,所以可以通过自定义一个SameSiteCookieHeaderWriter来实现。具体实现如下:

  a) 实现一个自定义HeaderWriter: SameSiteCookieHeaderWriter

    

import java.util.Collection;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;import org.springframework.http.HttpHeaders;
import org.springframework.security.web.header.HeaderWriter;/*** 安全问题: Cookie without SameSite attribute* */
public class SameSiteCookieHeaderWriter implements HeaderWriter {private String cookieSameSite;public SameSiteCookieHeaderWriter(String cookieSameSite) {this.cookieSameSite = cookieSameSite;if (this.cookieSameSite.equalsIgnoreCase("NONE") || this.cookieSameSite.equalsIgnoreCase("LAX")|| this.cookieSameSite.equalsIgnoreCase("STRICT")) {this.cookieSameSite = "LAX";} else {this.cookieSameSite = this.cookieSameSite.toUpperCase();}}/*  *(non-Javadoc)  * @see org.springframework.security.web.header.HeaderWriter#writeHeaders(javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse)  */@Overridepublic void writeHeaders(HttpServletRequest request, HttpServletResponse response) {Collection<String> headers = response.getHeaders(HttpHeaders.SET_COOKIE);boolean firstHeader = true;for (String header : headers) { // there can be multiple Set-Cookie attributesif (firstHeader) {response.setHeader(HttpHeaders.SET_COOKIE, String.format("%s; SameSite=%s", header, this.cookieSameSite));firstHeader = false;continue;}response.addHeader(HttpHeaders.SET_COOKIE, String.format("%s; SameSite=%s", header, this.cookieSameSite));}}}

b) 在WebSecurityConfigurerAdapter的configure(HttpSecurity http) 中加上此SameSiteHeaderWriter

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http. //cors().and(). //csrf().disable().//sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);// 设置 X-Frame-Options// disable 是没有 X-Frame-Options// 没有 disable 就是 DENY// sameOrigin 就是 SAMEORIGINhttp.headers().frameOptions().sameOrigin(); // disable submit dc99635// http.headers().frameOptions().disable(); // 按配置来http.headers().xssProtection().xssProtectionEnabled(true).block(true);http.headers().addHeaderWriter(new SameSiteCookieHeaderWriter("LAX"));}}

这种方法相对来说比较优雅,其原理是利用springsecurity的HeaderWriter机制将原来的Set-Cookie重写了。

这篇关于Springboot2.6以下版本对cookie的samesite设置的通用方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/531992

相关文章

Nginx安全防护的多种方法

《Nginx安全防护的多种方法》在生产环境中,需要隐藏Nginx的版本号,以避免泄漏Nginx的版本,使攻击者不能针对特定版本进行攻击,下面就来介绍一下Nginx安全防护的方法,感兴趣的可以了解一下... 目录核心安全配置1.编译安装 Nginx2.隐藏版本号3.限制危险请求方法4.请求限制(CC攻击防御)

python生成随机唯一id的几种实现方法

《python生成随机唯一id的几种实现方法》在Python中生成随机唯一ID有多种方法,根据不同的需求场景可以选择最适合的方案,文中通过示例代码介绍的非常详细,需要的朋友们下面随着小编来一起学习学习... 目录方法 1:使用 UUID 模块(推荐)方法 2:使用 Secrets 模块(安全敏感场景)方法

MyBatis-Plus通用中等、大量数据分批查询和处理方法

《MyBatis-Plus通用中等、大量数据分批查询和处理方法》文章介绍MyBatis-Plus分页查询处理,通过函数式接口与Lambda表达式实现通用逻辑,方法抽象但功能强大,建议扩展分批处理及流式... 目录函数式接口获取分页数据接口数据处理接口通用逻辑工具类使用方法简单查询自定义查询方法总结函数式接口

MySQL深分页进行性能优化的常见方法

《MySQL深分页进行性能优化的常见方法》在Web应用中,分页查询是数据库操作中的常见需求,然而,在面对大型数据集时,深分页(deeppagination)却成为了性能优化的一个挑战,在本文中,我们将... 目录引言:深分页,真的只是“翻页慢”那么简单吗?一、背景介绍二、深分页的性能问题三、业务场景分析四、

JAVA中安装多个JDK的方法

《JAVA中安装多个JDK的方法》文章介绍了在Windows系统上安装多个JDK版本的方法,包括下载、安装路径修改、环境变量配置(JAVA_HOME和Path),并说明如何通过调整JAVA_HOME在... 首先去oracle官网下载好两个版本不同的jdk(需要登录Oracle账号,没有可以免费注册)下载完

Python通用唯一标识符模块uuid使用案例详解

《Python通用唯一标识符模块uuid使用案例详解》Pythonuuid模块用于生成128位全局唯一标识符,支持UUID1-5版本,适用于分布式系统、数据库主键等场景,需注意隐私、碰撞概率及存储优... 目录简介核心功能1. UUID版本2. UUID属性3. 命名空间使用场景1. 生成唯一标识符2. 数

Java中读取YAML文件配置信息常见问题及解决方法

《Java中读取YAML文件配置信息常见问题及解决方法》:本文主要介绍Java中读取YAML文件配置信息常见问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要... 目录1 使用Spring Boot的@ConfigurationProperties2. 使用@Valu

Java 方法重载Overload常见误区及注意事项

《Java方法重载Overload常见误区及注意事项》Java方法重载允许同一类中同名方法通过参数类型、数量、顺序差异实现功能扩展,提升代码灵活性,核心条件为参数列表不同,不涉及返回类型、访问修饰符... 目录Java 方法重载(Overload)详解一、方法重载的核心条件二、构成方法重载的具体情况三、不构

SQL中如何添加数据(常见方法及示例)

《SQL中如何添加数据(常见方法及示例)》SQL全称为StructuredQueryLanguage,是一种用于管理关系数据库的标准编程语言,下面给大家介绍SQL中如何添加数据,感兴趣的朋友一起看看吧... 目录在mysql中,有多种方法可以添加数据。以下是一些常见的方法及其示例。1. 使用INSERT I

Python中反转字符串的常见方法小结

《Python中反转字符串的常见方法小结》在Python中,字符串对象没有内置的反转方法,然而,在实际开发中,我们经常会遇到需要反转字符串的场景,比如处理回文字符串、文本加密等,因此,掌握如何在Pyt... 目录python中反转字符串的方法技术背景实现步骤1. 使用切片2. 使用 reversed() 函