Java Spring-session 1.x 老项目设置cookie的Secure标志位

最新推荐文章于 2025-06-07 14:20:04 发布
原创 最新推荐文章于 2025-06-07 14:20:04 发布 · 466 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring

本文介绍了在老项目中对SpringApplication的spring-session配置进行安全整改,重点关注了如何修改cookieSerializer以使用SSL并设置session超时时间为7200秒的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

老项目安全整改需求,这里记录一下。
修改spring application.xml系列配置文件的spring-session配置部分中的cookieSerializer如下:

<bean id="redisHttpSessionConfiguration" class="org.springframework.session.data.redis.config.annotation.web.http.RedisHttpSessionConfiguration">
		<property name="maxInactiveIntervalInSeconds" value="7200" /> <!--session 超时时间-->
        <property name="cookieSerializer">
            <bean class="org.springframework.session.web.http.DefaultCookieSerializer">
                <property name="useSecureCookie" value="true" />
            </bean>
        </property>
	</bean>

重启项目,ok:
在这里插入图片描述

thinkdreamyy
关注
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8288
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
JAVASpring Session提升分布式Session管理利器
木头
08-27 2376
本文探讨了Web应用中会话管理的几种方案及其演进。从传统的单机Web容器会话管理,到Session复制、浏览器存储、Nginx Hash一致性等方案,分析了各自的优缺点。重点介绍了SpringSession的分布式会话解决方案,包括其核心组件、存储方式(Redis/JDBC/内存)、配置实现及多域名共享处理。SpringSession通过将会话数据存储在第三方服务中,实现了跨应用共享、分布式环境下的统一会话管理,具有存储灵活、扩展性强等优势,是当前分布式系统中会话管理的理想选择。
SpringCookieSession
Starc_的博客
08-25 1180
HTTP是"无状态"的协议,我们可以理解为它没有记忆力。无论来了多少次,他都会从头到尾重新执行。因此需要引入CookieSession让HTTP拥有“记忆”
java cookie secure_CookieSecure属性
weixin_39635648的博客
02-23 1095
测试过程支付页面:Secure属性为false,没有开启。风险分析Cookie设置secure属性,攻击者可以通过嗅探HTTP形式的数据包获取到该cookie。解决方法将Cookie设置secure属性。基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.co...
233. Spring Security 配置
最新发布
weixin_43484713的博客
06-07 800
Spring Security是Spring框架的安全模块,提供身份认证和授权功能。其核心组件包括:SecurityContextHolder存储安全上下文;Authentication接口封装用户凭证;UserDetails定义用户信息,UserDetailsService加载用户数据;GrantedAuthority表示用户权限;ProviderManager协调认证流程,通过AuthenticationProvider实现具体认证逻辑。
spring-session1.x与2.x 不兼容
sayyy的专栏
02-06 726
前言 A项目使用spring mvc,且spring-session版本为:1.3.1.RELEASE B项目使用spring-boot,且spring-session版本为:2.0.2.RELEASE A项目和B项目均使用同一个redis进行session共享。 问题 A项目和B项目获取的session不一致不一致。 原因 因 spring-session 1.x 中默认的cookieSer...
spring session 1.x与2.x 不兼容性问题
szydn的博客
02-25 719
spring session 1.x与2.x 同时在项目中使用时,导致session不一致原因是1.x useBase64Encoding=false 而 2.0 为useBase64Encoding=true. 因此解决只需保证两边 useBase64Encoding 一致就行。目前,我们采用直接修改2.x useBase64Encoding 为主。 在使用spring session 2....
java cookie secure,在Java Web应用程序中为设置cookie添加httponly和secure标志
weixin_29204205的博客
02-16 890
I want to add the httponly and secure flags for Cookies. To implement it, I am using Filters which are configured in web.xml.The code for adding flags is as below:package com.crisil.dbconn;import jav...
通过配置修改springsecurity中cookie生效方式(domain + path + secure + samesite)
a1290320893的博客
12-18 4287
我们可以通过配置以下参数来修改默认cookie的生效方式; 一、server.servlet.session.cookie.secure=true(只在访问HTTPS中进行传输cookie) 测试:访问:http://localhost:8080/admin/acl/user/getTitle/smile 需要认证后才可以访问;登录完成后有了cookie,照理说再次访问http://localhost:8080/admin/acl/user/getiphone由于我这边不是https所以不会携带cooki
Spring Boot 2.6 正式发布:循环依赖默认禁止、增加SameSite属性...
程序猿DD
11-20 1778
昨天,Spring官方正式发布了Spring Boot今年最后一个特性版本:2.6.0同时,也宣布了2.4.x版本的终结。那么这个新版本又带来了哪些新特性呢?下面就一起跟着DD来看看吧!重...
spring-cloud-gateway 3.1.4网关附录表
wcuu的博客
02-06 805
可以在application.properties文件内部application.yml、文件内部或作为命令行开关指定各种属性。本附录提供了一个常见的 Spring Cloud Gateway 属性列表以及对使用它们的底层类的引用。
cookie设置httpOnly和secure属性实现及问题
01-03
- **现象1**: 设置`HttpOnly`属性后,程序无法获取客户端SessionCookie的内容。 - **解决方案**: 将SessionID信息在启动Applet时传递进去,并在发送URLConnection请求时重新设置SessionCookie信息。 - **现象2**:...
session配置secure和httpOnly
03-16
本文档描述了关于cookie的http-only和secure的简介,和如何设置该属性,以及设置该属性会遇到的问题解决方法
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
JavaWeb 之分布式Session共享
const_
09-18 646
Spring Boot 一个依赖搞定 session 共享,没有比这更简单的方案了! https://blog.csdn.net/vbirdbest/article/details/89204972 https://www.cnblogs.com/wf1647790534/p/9802538.html
[Java]Spring增加Cookie属性SameSite
qq_28033719的博客
07-01 6895
前言: SameSite 属性相对项目javax.servlet-api:3.1.0还是太新了,而项目Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于新的浏览器(chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSite。 SameSite: 防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 ...
Session新增secure和httpOnly策略
s13166803785的博客
06-11 1558
1、添加HttpOnly和secure属性(用过滤器实现) 根据之前的说明,GlassFish2不支持Session Cookie的HttpOnly属性,以及secure属性也需要自己进行设置,所以最后的处理方法是:在工程各添加一个Filter,对请求的入口页面(或者是请求后跳转到的第一个客户可见的页面,一般是登陆页面),重新设置客户端的session属性。 (response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + ";Path=
SpringBoot整合SpringSession以及自定义CookieSerializer和RedisSerializer详解
qq_47768542的博客
04-16 9981
官方文档:https://docs.spring.io/spring-session/docs/2.2.6.RELEASE/reference/html5/#api-cookieserializer 引入SpringSession依赖 <!-- SpringSession,解决分布式session共享问题--> <dependency> <groupId>org.springframework.session</groupId.
Spring-session(spring-session-data-redis)实现分布式下Session共享
ycb1689的专栏
03-13 5515
由于公司项目是单节点的,同事在开发过程中并未做Session共享,由于流量上升后,领导未经过了解直接加机器、加节点;大家可想而知了,项目中运行过程出现很多问题,经过同事们系列排查,才知道是由于上面原因导致拿不到Session。 大家在项目采用Spring-Session时一定要注意项目Spring的版本,否则会给你带成很多坑,首先,Spring-Session所需的最低SPring版本是3.2...
SpringSession系列-sessionId解析和Cookie读写策略
weixin_33979745的博客
12-22 1024
首先需求在这里说明下,SpringSession的版本迭代的过程中肯定会伴随着一些类的移除和一些类的加入,目前本系列使用的版本是github上对象的master的代码流版本。如果有同学对其他版本中的一些类或者处理有疑惑,欢迎交流。 本篇将来介绍下SpringSession中两种sessionId解析的策略,这个在之前的文章中其实是有提到过的,这里再拿出来和SpringSession中Cooki...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值