Spring Security不发送带有JSESSIONID的samesite=none
Spring Security是一个开源的Java安全框架,用于在Java应用程序中实现身份验证和授权。它提供了一套强大的安全功能,可以帮助开发人员保护应用程序免受各种安全威胁。
在默认情况下,Spring Security不会发送带有JSESSIONID的samesite=none。这是因为samesite属性是用于防止跨站点请求伪造(CSRF)攻击的一种安全机制。当设置samesite=none时,浏览器将允许跨站点请求发送会话cookie,以便在不同域之间共享会话状态。
然而,由于samesite=none可能存在安全风险,因此Spring Security默认不发送这样的cookie。如果需要在Spring Security中启用samesite=none,可以通过配置来实现。
要启用samesite=none,可以使用以下步骤:
- 在Spring Security的配置文件中,添加以下代码:
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.sessionManagement()
.sessionFixation().none()
.and()
.csrf()
.disable();
}
}- 通过上述配置,我们禁用了CSRF保护,因为在启用samesite=none时,CSRF保护可能会导致问题。
需要注意的是,启用samesite=none可能会引入一些安全风险,因此在使用时应谨慎评估。在某些情况下,可能需要其他安全措施来保护应用程序免受潜在的攻击。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/cdb
- 腾讯云容器服务(TKE):https://cloud.tencent.com/product/tke
- 腾讯云人工智能(AI):https://cloud.tencent.com/product/ai
- 腾讯云物联网(IoT):https://cloud.tencent.com/product/iot
- 腾讯云移动开发(移动推送):https://cloud.tencent.com/product/umeng
- 腾讯云对象存储(COS):https://cloud.tencent.com/product/cos
- 腾讯云区块链(BCS):https://cloud.tencent.com/product/bcs
- 腾讯云元宇宙(Tencent XR):https://cloud.tencent.com/product/xr
相关·内容
=none的头,如下所示 public void init(FilterConfig filterConfig) throws ServletException {=None"); res.setStatus(HttpServletResponse.SC_OK} public void destroy()
浏览 102提问于2021-06-03得票数 0
我在使用一家公司的API。通过下面的命令,我得到了这个cookie。=796330316C3EC071ED53338C108C4A99.inst15eu-autoscaleapp-002161;路径=/;Secure;HttpOnly;SameSite=Lax','SERVERID=inst15eu-autoscale-app0|Y3+Qq|Y3+Qq;path=/‘
将此cookie从客户端发送到我正在使用的API。%2F%
浏览 14提问于2022-11-24得票数 -1
回答已采纳
我正在尝试使用Spring SAML2 + Spring会话来保护我的web应用程序(将部署在K8S上)。没有春季会话数据-休息或春季会话-哈泽尔广播,一切都很好。如果没有spring会话数据rest或spring会话哈泽尔广播,则可以检索保存的请求,但在启用春会话数据rest或春季会话哈泽尔广播时则不能。在我看来,InResponseTo异常也可能是相关的。:SPRING_SECURITY_SAVED_REQUEST"&q
浏览 14提问于2022-06-05得票数 1
回答已采纳
随着Google最近实施的安全政策(从80.0开始推出),它被要求应用新的SameSite属性,以更安全的方式访问跨站点cookie,而不是CSRF。由于我没有做任何相关的事情,而且Chrome已经为第一方cookie设置了默认值SameSite=Lax,所以我的第三方服务集成失败了,原因之一是当SameSite=Lax时,chrome限制了对跨站点在那里,Tomcat找不到会话,所以它在URL的末尾附加了一个新的<
浏览 12提问于2020-09-17得票数 10
回答已采纳
我有一个Spring应用程序,我试图使它成为无状态的。(SessionCreationPolicy.STATELESS)
但是应用程序(使用Thymeleaf模板)通过在文件名中添加";jsessionid=<some_session_id>“来不断重写图像和脚本的除了给我一个我不想要的cookie之外,它还有一个恼人的副作用: Security阻止请求,因为它在URL中有分号!Thymeleaf 说这不是他们的错: Thymel
浏览 7提问于2020-02-18得票数 3
回答已采纳
我有一个spring引导应用程序,它使用Azure AD SSO进行身份验证。在应用程序中,我们设置了samesite = none。 此标头在除登录之外的所有URI上设置。J9x07243AGxYQgzczpapMIrnN23nHspp2Pu0Ec-ISPM%3d&session_state=7e2e0287-c080-4b8c-bdaa-26918c41fdf7 我一直在寻找有关如何在此URI上设置cookie标头的信息
浏览 31提问于2021-08-09得票数 0
1回答
现在我得到一个跨站点错误,尽管有任何改变的块第三方饼干或添加一个网站,让我不能得到我的网页显示像以前一样。我使用的是chrome版本80.0.3987.132,在清除所有浏览/缓存/cookie历史记录之前,这个版本的一切都很正常。与的跨站点资源关联的cookie是在没有<e
浏览 0提问于2020-03-16得票数 0
回答已采纳
我在Wildfly 8.1.0中设置OKTA SAML 2.0与Struts1.0的集成。早些时候,我在JBoss 7服务器上也进行了同样的设置,一切都很正常。我刚刚在Wildfly 8中复制了相同的内容,但在OKTA中完成身份验证后,web页面将重定向到我的应用程序,其中 request.getSession(false) 返回null。schemaLocation="http://www.springframework.org/schema/beans http:&#
浏览 25提问于2019-10-02得票数 0
我使用的是SpringBoot、springsecurity和JDK1.8。当我试图在Chrome的iframe中打开任何安全的胸腺叶页面时,它每次都会返回到登录页面。当我尝试在没有iframe的情况下打开相同的URL时,它工作得很好。我已经花了很多时间来解决,但我可以解决它。下面是我的spring安全配置文件代码。还有一件事,这两个领域是不同的。.antMatchers("/","/login&quo
浏览 1提问于2020-03-24得票数 2
10回答
是否可以在Spring Security中设置标志?
如果不是,请在路线图上增加支持吗?在一些浏览器(如Chrome)中已经有了支持。
浏览 4提问于2017-03-24得票数 26
3回答
将cookie的Same-Site属性设置为Lax是否与根本不设置它相同?如果有分歧,他们是什么?
浏览 0提问于2017-08-28得票数 29
回答已采纳
这个问题()中投票最多的答案是:
我不确定我是否做错了一些设置或误解了CSRF,但是在会话cookie之外存储额外的CSRF cookie似乎不能提供任何额外的保护。
任何帮助都将不胜感激。
浏览 14提问于2022-07-11得票数 0
回答已采纳
我启用了带有spring安全性的CSRF,它正在按预期工作。我还阅读了关于使用Spring和AngularJS 的CSRF教程。Security所做的就是为此设置一个临时会话。基本上是这样的:
服务器创建临时会话,存储令牌,并将JSESSIONID和令牌发送回客户端。客户端使用JSE
浏览 1提问于2016-02-17得票数 6
2回答
基本GET请求失败角和弹簧
、、、、
我正试图从角度到弹簧提出一个简单的要求。我使用裸骨弹簧网和弹簧的安全性和简单的角度(9)的要求。
让我分享我的Java和角码。
浏览 4提问于2020-07-28得票数 0
回答已采纳
我在spring boot 1.5.22上工作,我面临着cookies samesite=none proporty.I的问题。我不能为cookies设置相同的站点属性,因为它在chrome上不起作用,但在其他浏览器上起作用。因此,我尝试了几个这样的解决方案。(HttpHeaders.SET_COOKIE, String.format("%s; %s", header, "SameSite=None;"));
浏览 106提问于2020-09-25得票数 1
我目前正在构建Spring应用程序(2.3.1,但使用Security保护的版本2.1.7和2.1.5也注意到了以下问题)。</artifactId>和我的application.properties的下面一行当我在本地测试时,这一切都很好在经历了令人沮丧的一天调试之后,我终于能够将这个问题归结为这样一个事实:将spring<
浏览 5提问于2020-06-24得票数 0
回答已采纳
使用IdentityServer4,我将在现有系统上实现代码流授权,该系统只支持IdentityServer中的ResourceOwnerPassword授予类型,并且运行良好。我进入了用户被提升为身份验证的阶段,然后重定向到server connect/authorize/callback。
调用IdentityServer4.Endpoints.AuthorizeCallbackEndpoint端点:用于/连接/授权/回调
浏览 0提问于2018-08-18得票数 26
我在使用Spring Security为我的无状态应用程序反序列化cookie时遇到了问题。调用https://localhost:8080/login并成功地进行身份验证后,会生成一个包含JWT令牌和一些其他字段的cookie,特别是Secure、HttpOnly、SameSite=None-yaa10AEY5p1j44cGQ9KY-DQ; Max-Age=1800; Path=/; Secure; HttpOnly; SameSite<
浏览 31提问于2020-12-28得票数 1
1回答
我有一个应用程序,列出不同的内部和第三方应用程序。在我的应用程序中,有一些应用程序是在iframe中打开的,其中一些应用程序启用了SSO。最近,在chrome更新到84.0.4147.125版本之后,SSO登录就不再适用于iframe中的应用程序,在新的浏览器窗口中打开时,它的工作状态很好。
浏览 9提问于2020-08-13得票数 6
回答已采纳
当用户浏览我的Spring Boot应用程序时,他们被重定向到通过Okta登录,登录后,他们被重定向到默认页面,而不是他们请求的原始页面。我认为发生这种情况的原因是由于会话cookie没有被发送到服务器,导致服务器无法找到其先前保存的请求。会话cookie的SameSite属性默认为Lax,并且由于从Okta调用到我的Spring Boot应用程序的SSO URL是一个POST方法,因此不会
浏览 52提问于2021-01-24得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
