Java 应用程序中的 SameSite cookie
您知道任何允许为cookie设置自定义标志的Java cookie实现吗?似乎javax.servlet.http.Cookie有一组严格限制的标志可以添加。SameSite=strict
答案 1
我不是JEE专家,但我认为,因为cookie属性是一项新发明,你不能指望它出现在Java EE 7接口或实现中。该类似乎缺少泛型属性的 setter。但是,而不是将 Cookie 添加到您的 via 中CookieHttpServletResponse
response.addCookie(myCookie)
您可以通过以下方式简单地设置相应的HTTP标头字段
response.setHeader("Set-Cookie", "key=value; HttpOnly; SameSite=strict")
更新:感谢@mwyrzyk指出,它将覆盖所有同名的现有标头。因此,如果您碰巧在响应中已经有其他标头,当然您会使用相同的参数。setHeader()Set-CookieaddHeader()
答案 2
如果您不想更新所有代码,也可以使用Apache或Nginx配置(或您正在使用的任何其他HTTP服务器/代理)通过一行配置来实现相同的代码
1 使用 Apache 配置设置 SameSite Cookie
您可以将以下行添加到 Apache 配置中
Header always edit Set-Cookie (.*) "$1; SameSite=Lax"
这将使用标志更新您的所有cookieSameSite=Lax
在这里查看更多: https://blog.giantgeek.com/?p=1872
2 使用Nginx配置设置同站点cookie
location / {
# your usual config ...
# hack, set all cookies to secure, httponly and samesite (strict or lax)
proxy_cookie_path / "/; secure; HttpOnly; SameSite=strict";
}
同样在这里,这也将更新您的所有cookie与标志SameSite=Lax
在这里查看更多: https://serverfault.com/questions/849888/add-samesite-to-cookies-using-nginx-as-reverse-proxy
推荐
-
Java Servlet API 2.5 Cookie.getDomain() 始终返回 null 我在Tomcat上使用Servlet API 2.5的Cookie类时遇到问题。我从HttpServletRequest对象中提取cookie列表,并像这样迭代它们: 但是,对于请求中的每个 Cookie,域都为空。这是为什么呢?我问的原因是因为
-
如何使用Java在Http Get方法中设置Cookie 我想使用cookie进行手动GET,以便下载和解析网页。我需要提取安全令牌,以便在论坛上发帖。我已完成登录,已阅读响应并提取cookie(3对(名称,值))。然后,我编写了包含 Cookie 的字符串,
-
游戏框架 会话和 Cookie 如何工作? Play 如何验证 Cookie? 我注意到,重新启动服务器后,即使我没有在数据库中预处理任何会话数据,我仍然处于登录状态。 我还注意到,我可以在服务器上将日期设置为比cookie的到期日期更大
-
在春季自动将安全标志添加到JSESSIONID Cookie 我有一个位于nginx后面的tomcat应用程序服务器。SSL在nginx上终止。部署在tomcat上的Spring web-mvc应用程序应该在JSESSIONID上设置安全标志。如果spring有一些自动检测功能,那将是很酷的,所以我在开发
-
Java webview:“无法从'文档'中读取'cookie'属性:此文档的访问被拒绝” 我试图在我的网络视图中使用cookie,但没有成功。 在我的代码中: 但是,当我想使用Chrome Dev Tools调试我的Web视图时,我会得到: 未捕获的安全错误:无法从“文档”中读取“cookie”属性
标签
推荐