SameSite Cookie 设置在 Java 中的理解与应用

最新推荐文章于 2025-04-23 10:45:22 发布
最新推荐文章于 2025-04-23 10:45:22 发布
阅读量2k 收藏 2
点赞数 2
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CodeGu/article/details/132284625
版权
编程 专栏收录该内容
316 篇文章 ¥29.90 ¥99.00
订阅专栏
本文介绍了 SameSite Cookie 如何增强 Web 应用安全性,防止 CSRF 攻击。在 Java 中,可通过 javax.servlet.http.Cookie 类设置 SameSite 属性,如 'Strict'、'Lax' 或 'None',并提供了示例代码展示具体用法。同时,针对不支持 SameSite 的浏览器,文章提到了使用 头部作为兼容性解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SameSite Cookie 设置在 Java 中的理解与应用

概述:
SameSite Cookie 是一种用于增加 Web 应用程序安全性的机制,它可以限制跨站点请求伪造(CSRF)攻击。该机制通过设置 Cookie 的 SameSite 属性来控制浏览器在什么情况下发送 Cookie。Java 提供了一些方法来设置 SameSite 属性,并且我们可以通过这些方法轻松地为我们的应用程序添加这一安全特性。

  1. 什么是 SameSite Cookie?
    SameSite 是一个 Cookie 属性,它告诉浏览器在什么情况下发送 Cookie。SameSite 属性可以有三个值:
  • “Strict”:浏览器只在目标网站的上下文中发送 Cookie。
  • “Lax”:在跨站点导航时不发送 Cookie,但在网站内部的 POST 请求中发送 Cookie。
  • “None”:Cookie 在跨站点导航和 POST 请求中都会发送。
  1. 如何在 Java 中设置 SameSite 属性?
    在 Java 中,我们可以使用 javax.servlet.http.Cookie 类来创建和设置 Cookie。通过设置 Cookie 的 SameSite 属性,我们可以实现 SameSite Cookie 功能。

示例代码如下:


                

                
                
        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        


    



                



	

		

			

				
					
Java中的SameSite Cookie理解设置

				
			

			

				

					TechWhizKid的博客
				

				

					09-19
					
					1382
					
				

			

		

		

			
				
通过设置CookieSameSite属性,我们可以选择限制Cookie是否可以随跨域请求发送到目标站点,并提高应用程序的安全性。None(无限制模式):当Cookie设置为None模式时,它可以随跨域请求发送到目标站点,即使是从不同的站点发送的。然而,为了确保安全性,设置为None模式的Cookie必须同时使用Secure属性,即只能通过HTTPS进行传输。在上面的代码中,我们首先创建了一个名为"myCookie"的Cookie,并设置了它的值为"example value"。如有疑问,请随时提问。

			
		

	



                

            
              



	

		

			

				
					
浏览器系列之 CookieSameSite 属性

				
			

			

				

					2301_78659329的博客
				

				

					11-06
					
					1750
					
				

			

		

		

			
				
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的很多应用都产生了问题,为此还专门成立了小组,推动各 BU 进行改造,目前阿里系基本已经改造完成。所有的前端团队估计都收到过通知,也着实加深了一把大家对于 Cookie理解,所以很可能就此出个面试题,而即便不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能表明你对前端时事的跟进,二还能借此引申到前端安全方面的内容,为你的面试加分。

			
		

	



              


  
              

                


	

		

			

				
					
[Java]Spring增加Cookie属性SameSite

				
			

			

				

					qq_28033719的博客
				

				

					07-01
					
					6842
					
				

			

		

		

			
				
前言:

     SameSite 属性相对项目的 javax.servlet-api:3.1.0还是太新了,而项目是 Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于新的浏览器(chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSiteSameSite:

     防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 ...

			
		

	





	

		

			

				
					
TW7 的 SameSite 添加方法

					
最新发布

				
			

			

				

					weixin_59691555的博客
				

				

					04-23
					
					124
					
				

			

		

		

			
				
2,在这个目录下,手动新增一个tongweb-web.xml文件,文件内容如下。3.添加完成之后,要重部署应用,或者重启 TongWeb 让这个配置生效。如果是TongWeb 8 版本,在控制台上可以找到开启的开关,如下截图。如果是 TongWeb 7 版本,在控制台上找不到开启的开关怎么办?此时我们可以通过添加配置文件的方式开启,具体方法如下。1,找到应用里面的WEB-INF目录。

			
		

	



		

			
		



	

		

			

				
					
java解决web端系统内嵌跨越问题,Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。

				
			

			

				

					绚烂的天空
				

				

					03-17
					
					2198
					
				

			

		

		

			
				
CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。
它可以设置三个值。
Strict
Lax
None

1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 请求目标一致,才会带上 Cookie。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;
这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,

			
		

	





	

		

			

				
					
java(tomcat)如何设置cookie samesite属性

				
			

			

				

					m0_67393157的博客
				

				

					09-07
					
					2871
					
				

			

		

		

			
				
自从Chrome搞了个cookie samesite属性弄了iframe跨域整合站点带来了麻烦,为了恢复cookie不被拦截需要设置cookie samesite属性=None,但发现javax.http.Cookie没有这个接口。增加后发现还是不得,还得设置cookie secure, 这个javax.http.cookie到有api,但随机的JSESSIONID还得通过在tomcat9/conf/web.xml。注:只支持tomcat8/9最新版本。同时开通https访问!

			
		

	





	

		

			

				
					
Java 进阶篇】Cookie 使用详解

				
			

			

				

					繁依Fanyi的博客
				

				

					11-06
					
					2146
					
				

			

		

		

			
				
在 Web 开发中,Cookie 是一种用于存储客户端(通常是浏览器)数据的小型文本文件。Cookie 可以被服务器端创建并发送给客户端,然后客户端在之后的每次请求中都会将这些 Cookie 数据发送给服务器。这使得服务器可以在不同请求之间跟踪用户的状态和信息。在本文中,我们探讨了 Cookie 的基本概念、工作原理以及如何使用和管理 CookieCookie 在 Web 开发中扮演着重要的角色,用于实现用户个性化体验、会话管理和更多功能。

			
		

	





	

		

			

				
					
cookie设置SameSite属性

				
			

			

				

					weixin_60552085的博客
				

				

					12-02
					
					1117
					
				

			

		

		

			
				
设置了如上相关属性,想设置sameSite属性时发现 javax.servlet.http.cookie没有sameSite这个属性。想对全局的cookie设置sameSite属性该如何操作。当前要对cookie进行加固,springboot项目。

			
		

	





	

		

			

				
					
CookieSameSite 属性

				
			

			

				

					【欢迎关注公众号:冬瓜白】
				

				

					04-14
					
					817
					
				

			

		

		

			
				
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。

一、CSRF 攻击是什么?

Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。

举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。



Set...

			
		

	





	

		

			

				
					
如何在Spring Boot中设置HttpOnly Cookie以增强安全性

				
			

			

				

					qq_42763903的博客
				

				

					03-21
					
					1200
					
				

			

		

		

			
				
HttpOnly是一个Cookie属性,用于防止客户端脚本(如JavaScript)访问该Cookie。当Cookie被标记为HttpOnly时,浏览器将禁止客户端脚本通过访问该Cookie,从而有效防止跨站脚本攻击(XSS)。通过设置HttpOnlyCookie,可以有效增强Web应用的安全性,防止XSS攻击等安全威胁。在Spring Boot中,你可以通过或Spring Security等方式轻松设置HttpOnlyCookie。希望本文能帮助你更好地理解应用HttpOnly。

			
		

	





	

		

			

				
					
关于使用Cookie的代码写法以及对Javaweb的网页理解

				
			

			

				

					2301_80945113的博客
				

				

					03-10
					
					1434
					
				

			

		

		

			
				
Cookie的使用 具体内容专栏里面的文章(小白篇)有具体介绍

			
		

	





	

		

			

				
					
should-send-same-site-none:一个简单的实用程序,用于为“ SameSite = None” cookie属性检测不兼容的用户代理

				
			

			

				

					05-17
				

			

		

		

			
				
应该不发送相同的站点
该模块随附:
 一个小的实用程序函数isSameSiteNoneCompatible ,用于为SameSite=None cookie属性检测不兼容的用户代理(浏览器)。
 甲快递中间件shouldSendSameSiteNone用于自动地除去SameSite=None reqesting客户端时,从响应的头是不兼容SameSite=None 。 (注意:在适用的情况下,您仍然有责任添加“安全” cookie属性。)
背景
在2020年2月推出的Chrome 80中,Chrome会将未声明SameSite值的Cookie视为SameSite=Lax Cookie。 预计其他浏览器供应商将效仿Google的领导。 (请参阅此)。
 如果您管理跨站点Cookie,则需要应用SameSite = None; 安全设置这些cookie。 但是,某些浏览器(包括某些版本的Chr

			
		

	





	

		

			

				
					
后端代码设置Samesite属性

				
			

			

				

					Artisan_w
				

				

					03-05
					
					3750
					
				

			

		

		

			
				
Samesite属性设置
目的:防御CSRF
Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。
SameSite的取值可以为:
(1)unset(默认)。这种情况浏览器可能会采用自己的策略。
(2)none。存在CSRF风险。
(2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
(3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 请求目标一致,才会带

			
		

	





	

		

			

				
					
spring低版本设置cookiesamesite属性

				
			

			

				

					qq_43393995的博客
				

				

					08-21
					
					783
					
				

			

		

		

			
				
None属性:chrome默认将Lax设置为默认值,此时我们可以更改samesite的值,将其设置为none,此时必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。网上找了很多资源,由于jar版本比较低,没有samesite字段,尝试过继承cookie重写类,修改tomcat配置等方式,均不可用;Lax:该属性比strict的属性要宽松一些,其允许我们在跨站使用get请求时(不准确,比如ajaxget)携带cookie。属性,可用于防止 CSRF 攻击和用户追踪。

			
		

	





	

		

			

				
					
SpringBoot 为 Cookie 设置 SameSite

				
			

			

				

					weixin_44951259的博客
				

				

					11-13
					
					2408
					
				

			

		

		

			
				
这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训。最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。

			
		

	





	

		

			

				
					
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置SameSite=None“才能实现跨站点使用。

				
			

			

				

					weixin_66709611的博客
				

				

					03-13
					
					3268
					
				

			

		

		

			
				
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)

			
		

	





	

		

			

				
					
统一认证,跨域cookie写入问题,修改sameSite

				
			

			

				

					Thog_13的博客
				

				

					06-21
					
					1776
					
				

			

		

		

			
				
认证中心采用iframe嵌套业务平台的模式,进行oauth2.授权,跨域cookie写入问题。

			
		

	





	

		

			

				
					
Springboot应用设置CookieSameSite属性

				
			

			

				

					a595077052的专栏
				

				

					08-26
					
					3423
					
				

			

		

		

			
				
转载自https://springboot.io/t/topic/2602

Cookie除了key和value以外有几个属性。

httpOnly是否允许js读取cookie
	secure是否仅仅在https的链接下,才提交cookie
	domaincookie提交的域
	pathcookie提交的path
	maxAgecookie存活时间
	sameSite同站策略,枚举值:StrictLaxNone
其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值