你知道任何允许为cookie设置自定义标志的JAVA Cookie实现(比如SameSite = strict)吗?它似乎SameSite=strict有严格限制的标志,可以添加.
我们添加Spring Security到现有项目中.
从这一刻起,我们No 'Access-Control-Allow-Origin' header is present on the requested resource从服务器收到401 错误.
那是因为没有Access-Control-Allow-Origin标题附加到响应.为了解决这个问题,我们Filter在注销过滤器之前添加了我们自己的过滤器,但过滤器不适用于我们的请求.
我们的错误:
XMLHttpRequest无法加载
http://localhost:8080/getKunden.请求的资源上不存在"Access-Control-Allow-Origin"标头.http://localhost:3000因此不允许原点访问.响应具有HTTP状态代码401.
我们的安全配置:
@EnableWebSecurity
@Configuration
@ComponentScan("com.company.praktikant")
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Autowired
private MyFilter filter;
@Override
public void configure(HttpSecurity http) throws Exception {
final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
final CorsConfiguration config = new CorsConfiguration();
config.addAllowedOrigin("*");
config.addAllowedHeader("*");
config.addAllowedMethod("GET");
config.addAllowedMethod("PUT");
config.addAllowedMethod("POST");
source.registerCorsConfiguration("/**", config);
http.addFilterBefore(new MyFilter(), LogoutFilter.class).authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/*").permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws …是否可以在 Spring Boot 中设置Same-Site Cookie标志?
我在 Chrome 中的问题:
与http://google.com/上的跨站点资源关联的 cookie 设置为没有该
SameSite属性。未来版本的 Chrome 将仅在跨站点请求中使用SameSite=None和设置 cookie 时才传送 cookieSecure。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5088147346030592和 https://www.chromestatus.com/feature/5633521622188032 上查看更多详细信息 。
如何解决这个问题呢?
Tomcat 的 context.xml 定义了 CookieProcessor(默认 LegacyCookieProcessor)
https://tomcat.apache.org/tomcat-9.0-doc/config/cookie-processor.html
我正在尝试添加 cookie 处理器上显示的属性,但这似乎不起作用
我没有看到设置了 sameSite 属性的 Tomcat 响应头 cookie
我有一个 Spring Boot Web 应用程序(Spring Boot 版本 2.0.3.RELEASE)并在 Apache Tomcat 8.5.5 服务器中运行。
谷歌浏览器最近实施的安全策略(自 80.0 起推出),要求应用新SameSite属性,使跨站点 cookie 访问以更安全的方式而不是 CSRF。正如我什么也没有做相关的是和Chrome已设置默认值,SameSite=Lax为第一方Cookie,我的第三方服务集成的一个失败,由于原因,铬是制约跨站点的cookie的访问时SameSite=Lax,如果第三方响应来自POST请求(一旦程序完成第三方服务重定向到我们的站点的POST请求)。在那里 Tomcat 无法找到会话,因此它附加了一个新的JSESSIONID(有一个新会话,前一个会话被终止)在 URL 的末尾。因此 Spring 拒绝该 URL,因为它包含由新JSESSIONIDappend引入的分号。
因此,我需要更改JSESSIONIDcookie 属性 ( SameSite=None; Secure) 并以多种方式进行尝试,包括 WebFilters。我在 Stackoverflow 中看到了相同的问题和答案,并尝试了其中的大部分,但最终无果而终。
有人可以想出一个解决方案来更改 Spring Boot 中的这些标头吗?
我在 Cookie 中设置 SameSite 属性时遇到问题。我想设置这个属性,但既没有javax.servlet.http.Cookie也没有java.net.HttpCookie提供处理它的方法。因此,我有一个想法来创建一个响应javax.servlet.Filter以捕获“Set-Cookie”标头并添加“SameSite=Strict”属性。
response.setHeader("Set-Cookie", response.getHeader("Set-Cookie") + "; SameSite=strict");
它工作正常,但是当我在一个响应中有多个“Set-Cookie”标头时出现问题。javax.servlet.http.HttpServletResponse不提供删除或覆盖多个具有相同名称的 heder 的方法(迭代它们并使用setHeader()不起作用,因为它总是设置最后一个)。您知道如何将 SameSite 属性设置为 cookie 或如何覆盖响应过滤器中的标头吗?
提前致谢。
将 jsessionId cookie 设置为 SameSite=Strict 的 spring-boot 配置是什么。
JsessionId需要添加SameSite=Strict或者现有的cookie而不是新的cookie生成。是否支持?