如何在 Spring Boot 中设置同站点 cookie 标志？

Question

新手上路，请多包涵

是否可以在 Spring Boot 中设置 Same-Site Cookie 标志？

我在 Chrome 中的问题：

与 http://google.com/ 上的跨站点资源关联的 cookie 设置为没有 SameSite 属性。如果设置了 SameSite=None 和 Secure ，未来的 Chrome 版本将只提供带有跨站点请求的 cookie。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie，并在 https://www.chromestatus.com/feature/5088147346030592 和 https://www.chromestatus.com/feature/5633521622188032 中查看更多详细信息。

如何解决这个问题呢？

原文由 Nikolas Soares 发布，翻译遵循 CC BY-SA 4.0 许可协议

spring-boot cookies samesite

阅读 1.2k

1 个回答

得票最新

社区维基

1

发布于
2022-11-08

春季启动 2.6.0

Spring Boot 2.6.0 现在支持配置 SameSite cookie 属性：

通过属性配置

server.servlet.session.cookie.same-site=strict

通过代码配置

import org.springframework.boot.web.servlet.server.CookieSameSiteSupplier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration(proxyBeanMethods = false)
public class MySameSiteConfiguration {
    @Bean
    public CookieSameSiteSupplier applicationCookieSameSiteSupplier() {
        return CookieSameSiteSupplier.ofStrict();
    }
}

Spring Boot 2.5.0 及以下

Spring Boot 2.5.0-SNAPSHOT 不支持 SameSite cookie 属性并且没有启用它的设置。

Java Servlet 4.0 规范不支持 SameSite cookie 属性。您可以通过打开 javax.servlet.http.Cookie java 类来查看可用属性。

但是，有几个解决方法。您可以手动覆盖 Set-Cookie 属性。

第一种方法（使用自定义 Spring HttpFirewall）和围绕请求的包装器：

您需要在创建会话后立即包装请求并调整 cookie。您可以通过定义以下类来实现它：

一个bean（如果你想把所有东西都放在一个地方，你可以在SecurityConfig中定义它。为了简洁起见，我只是在上面放了@Component注解）

 package hello.approach1;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.HttpFirewall;
import org.springframework.security.web.firewall.RequestRejectedException;
import org.springframework.stereotype.Component;

@Component
public class CustomHttpFirewall implements HttpFirewall {

    @Override
    public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
        return new RequestWrapper(request);
    }

    @Override
    public HttpServletResponse getFirewalledResponse(HttpServletResponse response) {
        return new ResponseWrapper(response);
    }

}

第一个包装类

package hello.approach1;

import java.util.Collection;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.http.HttpHeaders;
import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

/**
 * Wrapper around HttpServletRequest that overwrites Set-Cookie response header and adds SameSite=None portion.
 */
public class RequestWrapper extends FirewalledRequest {

    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public RequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * Must be empty by default in Spring Boot. See FirewalledRequest.
     */
    @Override
    public void reset() {
    }

    @Override
    public HttpSession getSession(boolean create) {
        HttpSession session = super.getSession(create);

        if (create) {
            ServletRequestAttributes ra = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
            if (ra != null) {
                overwriteSetCookie(ra.getResponse());
            }
        }

        return session;
    }

    @Override
    public String changeSessionId() {
        String newSessionId = super.changeSessionId();
        ServletRequestAttributes ra = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        if (ra != null) {
            overwriteSetCookie(ra.getResponse());
        }
        return newSessionId;
    }

    private void overwriteSetCookie(HttpServletResponse response) {
        if (response != null) {
            Collection<String> headers = response.getHeaders(HttpHeaders.SET_COOKIE);
            boolean firstHeader = true;
            for (String header : headers) { // there can be multiple Set-Cookie attributes
                if (firstHeader) {
                    response.setHeader(HttpHeaders.SET_COOKIE, String.format("%s; %s", header, "SameSite=None")); // set
                    firstHeader = false;
                    continue;
                }
                response.addHeader(HttpHeaders.SET_COOKIE, String.format("%s; %s", header, "SameSite=None")); // add
            }
        }
    }
}

第二个包装类

package hello.approach1;

import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;

/**
 * Dummy implementation.
 * To be aligned with RequestWrapper.
 */
public class ResponseWrapper extends HttpServletResponseWrapper {
    /**
     * Constructs a response adaptor wrapping the given response.
     *
     * @param response The response to be wrapped
     * @throws IllegalArgumentException if the response is null
     */
    public ResponseWrapper(HttpServletResponse response) {
        super(response);
    }
}

第二种方法（使用 Spring 的 AuthenticationSuccessHandler）：

此方法不适用于基本身份验证。在基本身份验证的情况下，在控制器返回响应对象之后，在调用 SameSiteFilter#addSameSiteCookieAttribute 之前立即刷新/提交响应。

 package hello.approach2;

import java.io.IOException;
import java.util.Collection;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.http.HttpHeaders;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

public class AuthenticationSuccessHandlerImpl implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException {
        addSameSiteCookieAttribute(response);    // add SameSite=strict to Set-Cookie attribute
        response.sendRedirect("/hello"); // redirect to hello.html after success auth
    }

    private void addSameSiteCookieAttribute(HttpServletResponse response) {
        Collection<String> headers = response.getHeaders(HttpHeaders.SET_COOKIE);
        boolean firstHeader = true;
        for (String header : headers) { // there can be multiple Set-Cookie attributes
            if (firstHeader) {
                response.setHeader(HttpHeaders.SET_COOKIE, String.format("%s; %s", header, "SameSite=Strict"));
                firstHeader = false;
                continue;
            }
            response.addHeader(HttpHeaders.SET_COOKIE, String.format("%s; %s", header, "SameSite=Strict"));
        }
    }
}

第三种方法（使用 javax.servlet.Filter）：

此方法不适用于基本身份验证。在基本身份验证的情况下，在控制器返回响应对象之后，在调用 SameSiteFilter#addSameSiteCookieAttribute 之前立即刷新/提交响应。

 package hello.approach3;

import java.io.IOException;
import java.util.Collection;

import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

import org.springframework.http.HttpHeaders;

public class SameSiteFilter implements javax.servlet.Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        chain.doFilter(request, response);
        addSameSiteCookieAttribute((HttpServletResponse) response); // add SameSite=strict cookie attribute
    }

    private void addSameSiteCookieAttribute(HttpServletResponse response) {
        Collection<String> headers = response.getHeaders(HttpHeaders.SET_COOKIE);
        boolean firstHeader = true;
        for (String header : headers) { // there can be multiple Set-Cookie attributes
            if (firstHeader) {
                response.setHeader(HttpHeaders.SET_COOKIE, String.format("%s; %s", header, "SameSite=Strict"));
                firstHeader = false;
                continue;
            }
            response.addHeader(HttpHeaders.SET_COOKIE, String.format("%s; %s", header, "SameSite=Strict"));
        }
    }

    @Override
    public void destroy() {

    }
}

您可以查看 GitHub 上的这个演示项目，了解有关 org.springframework.security.web.authentication.AuthenticationSuccessHandler 或 javax.servlet.Filter 配置的更多详细信息。

SecurityConfig 包含所有必要的配置。

使用 addHeader 不能保证工作，因为基本上 Servlet 容器管理 Session 和 Cookie 的创建。例如，如果您在响应正文中返回 JSON，则第二种和第三种方法将不起作用，因为应用程序服务器将在刷新响应期间覆盖 Set-Cookie 标头。但是，在成功验证后将用户重定向到另一个页面的情况下，第二种和第三种方法将起作用。

请注意 Postman 不呈现/支持 Cookies 部分下的 SameSite cookie 属性（至少在撰写本文时）。您可以查看 Set-Cookie 响应标头或使用 curl 查看是否添加了 SameSite cookie 属性。

原文由 Eugene Maysyuk 发布，翻译遵循 CC BY-SA 4.0 许可协议

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进，让解决方法与时俱进

推荐问题

nextjs 15.1.7 版本，路由中设置 cookies 为什么无效？
路由：/api/auth/login/route.ts {代码...} 这样不对吗？就是没有值
1 回答780 阅读

Stack Overflow 翻译

子站问答

访问

本篇内容翻译自 Stack Overflow，如果你觉得翻译结果值得改进，欢迎直接编辑修改，感谢你为社区贡献。

相似问题

找不到问题？创建新问题

如何在 Spring Boot 中设置同站点 cookie 标志？

春季启动 2.6.0

Spring Boot 2.5.0 及以下

你尚未登录，登录后可以

nextjs 15.1.7 版本，路由中设置 cookies 为什么无效？

Stack Overflow 翻译