Java中的SameSite Cookie理解与设置

最新推荐文章于 2025-03-21 23:51:28 发布
最新推荐文章于 2025-03-21 23:51:28 发布
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java 开发语言 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/TechWhizKid/article/details/133042063
Java 专栏收录该内容
85 篇文章 ¥59.90 ¥99.00
订阅专栏
本文介绍了SameSite Cookie的概念及其在防止CSRF攻击中的作用。详细阐述了Java中利用Servlet API设置Cookie的SameSite属性的方法,包括Strict、Lax和None模式,并提供了设置示例代码。通过设置,可以提升Web应用的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SameSite Cookie是一种用于增强Web应用程序安全性的机制,它可以限制跨站点请求伪造(CSRF)攻击。在Java中,我们可以使用Servlet API来设置SameSite属性以控制Cookie的行为。本文将介绍如何理解和设置SameSite Cookie,并提供相应的Java源代码示例。

理解SameSite Cookie

在介绍如何设置SameSite Cookie之前,我们首先需要了解SameSite属性的含义和作用。SameSite属性用于指定Cookie是否可以随跨域请求发送到目标站点。它有三个可能的值:

  1. Strict(严格模式):当Cookie被设置为Strict模式时,它只能在目标站点的上下文中发送。如果请求来自不同的站点,Cookie将被阻止发送。

  2. Lax(宽松模式):Cookie在Lax模式下稍微宽松一些。它允许在GET请求中的跨站点情况下发送Cookie,例如从外部站点链接到目标站点。但对于POST、PUT和DELETE等非安全请求,Cookie将被阻止发送。

  3. None(无限制模式):当Cookie设置为None模式时,它可以随跨域请求发送到目标站点,即使是从不同的站点发送的。然而,为了确保安全性,设置为None模式的Cookie必须同时使用Secure属性,即只能通过HTTPS进行传输。

设置SameSite Cookie

在Java中,我们可以使用Servlet API来设置Cookie的SameSite属性。下面是一个示例代码,演示如何在Java中设置SameSite Cookie:


                

                
                
        

    

    
  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        


    



                



	

		

			

				
					
SameSite Cookie 设置Java 中的理解应用

				
			

			

				

					CodeGu的博客
				

				

					08-14
					
					2118
					
				

			

		

		

			
				
通过设置 SameSite 属性为 “Strict” 或 “Lax”,我们可以确保浏览器不会在跨站点请求中发送 Cookie,从而有效地减少了 CSRF 攻击的风险。在 Java 中,我们可以使用 javax.servlet.http.Cookie 类来设置 SameSite 属性,并且对于不支持 SameSite 属性的浏览器,我们可以使用默认的。在上面的代码中,我们创建了一个名为 “myCookie” 的 Cookie,并将其 SameSite 属性设置为 “Strict”。通过在响应头部中添加

			
		

	



                

            
              



	

		

			

				
					
SameSite cookie 理解设置

				
			

			

				

					隔壁老瓦的专栏
				

				

					08-15
					
					1840
					
				

			

		

		

			
				
此功能仅在(HTTPS)、部分或所有中可用。HTTP 响应标头的SameSite属性允许您声明您的 cookie 是否应限制为或同一站点上下文。 CookieSameSiteSameSite如果未指定cookie 发送行为是. 以前的默认设置是为所有请求发送 cookie。带有必须的 Cookie现在还指定Secure属性(它们需要安全上下文/HTTPS)。如果使用不同的方案 (或)发送来自同一域的 Cookie,则不再将其视为来自同一站点。本文记录了新标准。...

			
		

	



              


  
              

                


	

		

			

				
					
java解决web端系统内嵌跨越问题,Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。

				
			

			

				

					绚烂的天空
				

				

					03-17
					
					2257
					
				

			

		

		

			
				
CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。
它可以设置三个值。
Strict
Lax
None

1Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 请求目标一致,才会带上 CookieSet-Cookie: CookieName=CookieValue; SameSite=Strict;
这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,

			
		

	





	

		

			

				
					
java(tomcat)如何设置cookie samesite属性

				
			

			

				

					m0_67393157的博客
				

				

					09-07
					
					2929
					
				

			

		

		

			
				
自从Chrome搞了个cookie samesite属性弄了iframe跨域整合站点带来了麻烦,为了恢复cookie不被拦截需要设置cookie samesite属性=None,但发现javax.http.Cookie没有这个接口。增加后发现还是不得,还得设置cookie secure, 这个javax.http.cookie到有api,但随机的JSESSIONID还得通过在tomcat9/conf/web.xml。注:只支持tomcat8/9最新版本。同时开通https访问!

			
		

	



		

			
		



	

		

			

				
					
[Java]Spring增加Cookie属性SameSite

				
			

			

				

					qq_28033719的博客
				

				

					07-01
					
					6889
					
				

			

		

		

			
				
前言:

     SameSite 属性相对项目的 javax.servlet-api:3.1.0还是太新了,而项目是 Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于新的浏览器(chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSiteSameSite:

     防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 ...

			
		

	





	

		

			

				
					
cookie设置SameSite属性

				
			

			

				

					weixin_60552085的博客
				

				

					12-02
					
					1320
					
				

			

		

		

			
				
设置了如上相关属性,想设置sameSite属性时发现 javax.servlet.http.cookie没有sameSite这个属性。想对全局的cookie设置sameSite属性该如何操作。当前要对cookie进行加固,springboot项目。

			
		

	





	

		

			

				
					
SpringBoot 为 Cookie 设置 SameSite

				
			

			

				

					weixin_44951259的博客
				

				

					11-13
					
					2502
					
				

			

		

		

			
				
这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训。最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。

			
		

	





	

		

			

				
					
浏览器系列之 CookieSameSite 属性

				
			

			

				

					2301_78659329的博客
				

				

					11-06
					
					1785
					
				

			

		

		

			
				
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的很多应用都产生了问题,为此还专门成立了小组,推动各 BU 进行改造,目前阿里系基本已经改造完成。所有的前端团队估计都收到过通知,也着实加深了一把大家对于 Cookie理解,所以很可能就此出个面试题,而即便不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能表明你对前端时事的跟进,二还能借此引申到前端安全方面的内容,为你的面试加分。

			
		

	





	

		

			

				
					
Cookie-SameSite属性详解(CSRF攻击、同站和跨站;跨子域)

				
			

			

				

					a1290320893的博客
				

				

					01-25
					
					2202
					
				

			

		

		

			
				
Cookie-SameSite属性一、CSRF攻击二、同站和跨站三、Samesite存在的作用四、Samesite三个属性五、测试
一、CSRF攻击
我们知道cookie作为标识用户身份的存在,可以帮助我们不需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携带cookie然后请求就会被执行;
二、同站和跨站
这边对于同站的理解非常重要:
Cookie中的

			
		

	





	

		

			

				
					
如何在Spring Boot中设置HttpOnly Cookie以增强安全性

					
最新发布

				
			

			

				

					qq_42763903的博客
				

				

					03-21
					
					1324
					
				

			

		

		

			
				
HttpOnly是一个Cookie属性,用于防止客户端脚本(如JavaScript)访问该Cookie。当Cookie被标记为HttpOnly时,浏览器将禁止客户端脚本通过访问该Cookie,从而有效防止跨站脚本攻击(XSS)。通过设置HttpOnlyCookie,可以有效增强Web应用的安全性,防止XSS攻击等安全威胁。在Spring Boot中,你可以通过或Spring Security等方式轻松设置HttpOnlyCookie。希望本文能帮助你更好地理解和应用HttpOnly。

			
		

	





	

		

			

				
					
should-send-same-site-none:一个简单的实用程序,用于为“ SameSite = None” cookie属性检测不兼容的用户代理

				
			

			

				

					05-17
				

			

		

		

			
				
应该不发送相同的站点
该模块随附:
 一个小的实用程序函数isSameSiteNoneCompatible ,用于为SameSite=None cookie属性检测不兼容的用户代理(浏览器)。
 甲快递中间件shouldSendSameSiteNone用于自动地除去SameSite=None reqesting客户端时,从响应的头是不兼容SameSite=None 。 (注意:在适用的情况下,您仍然有责任添加“安全” cookie属性。)
背景
在2020年2月推出的Chrome 80中,Chrome会将未声明SameSite值的Cookie视为SameSite=Lax Cookie。 预计其他浏览器供应商将效仿Google的领导。 (请参阅此)。
 如果您管理跨站点Cookie,则需要应用SameSite = None; 安全设置这些cookie。 但是,某些浏览器(包括某些版本的Chr

			
		

	





	

		

			

				
					
CookieSameSite 属性

				
			

			

				

					weixin_55802150的博客
				

				

					08-03
					
					1894
					
				

			

		

		

			
				
不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 请求目标一致,才会带上 Cookie。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

			
		

	





	

		

			

				
					
浅谈cookie中的SameSite属性

				
			

			

				

					weixin_47450807的博客
				

				

					03-03
					
					9594
					
				

			

		

		

			
				
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookieSameSite属性的理解。
一、写在头部
我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。
我们都是HTTP是没有

			
		

	





	

		

			

				
					
如何使用 Apache 配置设置 SameSite cookie 属性?

				
			

			

				

					hzjhss的博客
				

				

					09-02
					
					1179
					
				

			

		

		

			
				
我无法在“应用程序”选项卡中使用内置开发人员工具看到 SameSite=Strict。请让我知道如何使用上述设置设置 SameSite=Strict。为什么它对你不起作用?也许它在分号后缺少“空格”?我在 Apache 配置添加了下面的标题代码。对于低于 2.2.4 的 apache2。对于 apache2 >= 2.2.4。[apache 手册] (

			
		

	





	

		

			

				
					
set-cookie中的SameSite属性

					
热门推荐

				
			

			

				

					关灯吃面
				

				

					02-22
					
					2万+
					
				

			

		

		

			
				
再见,CSRF:讲解set-cookie中的SameSite属性

2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵 
阅读:18836次 点赞(17) 收藏(21)










SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本(Chrome Dev 51.0.

			
		

	





	

		

			

				
					
后端代码设置Samesite属性

				
			

			

				

					Artisan_w
				

				

					03-05
					
					3820
					
				

			

		

		

			
				
Samesite属性设置
目的:防御CSRF
Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。
SameSite的取值可以为:
(1)unset(默认)。这种情况浏览器可能会采用自己的策略。
(2)none。存在CSRF风险。
(2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
(3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 请求目标一致,才会带

			
		

	





	

		

			

				
					
理解前端Cookie中的SameSite属性

				
			

			

				

					Keep trying, keep going
				

				

					06-12
					
					1529
					
				

			

		

		

			
				
这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie则不会被发送。:Cookie只有在当前网站的上下文中才会被发送,即只有当浏览器的地址栏显示的URL的域名请求的域名一致时,Cookie才会被包含在请求中。属性可以有效地防止CSRF攻击,因为在CSRF攻击中,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器中发起一个跨站请求。,使得Cookie只能通过HTTPS发送。

			
		

	





	

		

			

				
					
聊聊 Cookie “火热”的 SameSite 属性

				
			

			

				

					yuqing1008的博客
				

				

					04-09
					
					4312
					
				

			

		

		

			
				
作者 |mqyqingfeng   整理 |桔子酱01 前言2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值