Spring Security 中会话 cookie 的同站点标志

2024-01-21

是否可以设置同站 Cookie https://datatracker.ietf.org/doc/html/draft-west-first-party-cookies-07Spring Security 中的标志？

如果没有，请问是否有增加支持的路线图？某些浏览器（例如 Chrome）已经支持。

新的Tomcat版本 https://wiki.shibboleth.net/confluence/display/DEV/Tomcat+and+Jetty+SameSite+Workarounds通过以下方式支持 SameSite cookieTomcatContextCustomizer。所以你应该只自定义tomcat CookieProcessor，例如对于春季启动：

@Configuration
public class MvcConfiguration implements WebMvcConfigurer {
    @Bean
    public TomcatContextCustomizer sameSiteCookiesConfig() {
        return context -> {
            final Rfc6265CookieProcessor cookieProcessor = new Rfc6265CookieProcessor();
            cookieProcessor.setSameSiteCookies(SameSiteCookies.NONE.getValue());
            context.setCookieProcessor(cookieProcessor);
        };
    }
}

For SameSiteCookies.NONE请注意，cookie 也是Secure（使用SSL），否则无法应用。

默认情况下，自 Chrome 80 起 cookie 被视为SameSite=Lax!

See Spring Boot 中的 SameSite Cookie https://techhub.erimy.net/archives/0-a-2-aca-650721626055-a-3 and SameSite cookie 食谱 https://web.dev/samesite-cookie-recipes.

对于 nginx 代理，可以在 nginx 配置中轻松解决：

if ($scheme = http) {
    return 301 https://$http_host$request_uri;
}

proxy_cookie_path / "/; secure; SameSite=None";

来自@madbreaks 的更新：proxy_cookie_flags https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_flags iso proxy_cookie_path

proxy_cookie_flags ~ secure samesite=none;

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Spring Security 中会话 cookie 的同站点标志的相关文章

Spring Security 3 以编程方式登录

我正在使用 spring 创建一个 REST Web 服务我需要在其中实现登录注销功能函数的 url 应类似于 api login 和 api logout 用户名和密码将使用 POST 方法传递我在 REST Web 服务下面有一
ASP.NET MVC - ValidateAntiForgeryToken 过期

在网页中我们提供一个超链接 GET 用户可以单击该超链接进行身份验证 Html ActionLink Please Login MyMethod MyController 这映射到以下返回视图的控制器方法 RequireHttps pub
使用 Java Config 围绕 Spring Security 匿名访问的混乱

我将以下 Java 配置与 Spring Security 结合使用 protected void configure HttpSecurity http throws Exception http authorizeRequests an
为什么 Chrome 审核建议我最小化 Cookie 大小？

如何最小化请求的 cookie 大小 Chrome 似乎警告我我的 cookie 大小为 41B 这根本不是很多但是它警告我有什么原因吗这是一个 PHPSESSID cookie 我真的不知道如何最小化它有任何想法吗我的请求响应
在 PHP 中计算 Cookie 大小

我想使用 php 在服务器端读取 cookie 并计算其长度但找不到任何直接方法来执行此操作那么如何实现这个任务呢那这个呢 setcookie user Dino babu kannampuzha time 3600 if isset
如何在SpringBootTest中向Autowired testRestTemplate添加基本身份验证；春季启动 1.4

我在 Spring Boot 1 4 之前的 OAuth 集成测试如下更新只是为了不使用已弃用的功能 RunWith SpringRunner class SpringBootTest classes ApplicationConfigu
Cordova 上的 ClearCookiesAsync()

我正在尝试使用 wp8 cordova 中的插件来清除 WebBrowser cookie 我已经让它与 JavaScript 进行通信并且我的 c 文件中有类似这样的内容 using WPCordovaClassLib Cordova
如何在 Rails rspec 中测试 cookie 过期时间

在 rspec 中设置 cookie 有很多困惑http relishapp com rspec rspec rails v 2 6 dir controller specs file cookies http relishapp com
无法验证 CSRF 令牌的真实性 Rails/React

我的 Rails 应用程序中有一个 React 组件我正在尝试使用它fetch 发送一个POST对于我在本地主机上托管的 Rails 应用程序这给了我错误 ActionController InvalidAuthenticityToke
IdentityServer4 客户端 - 刷新 CookieAuthenticationEvents 上的访问令牌

我试图在访问令牌过期时使用刷新令牌类似的问题已回答here https stackoverflow com a 41557598 3501052 And 更新令牌的示例代码 https stackoverflow com question
Spring Oauth2 使用 Spring Boot 2.0 返回 401 Unauthorized 错误

我正在尝试使用 spring oauth2 实现 SSO 对于 spring 1 5 x 它工作得很好但是一旦我将 oauth 服务器应用程序升级到 spring boot 2 2 3 RELEASE 我什至无法进入登录表单即将 ht
在另一个插件中覆盖插件 GSP 和控制器

我的项目中有一个相当复杂的 grails 插件依赖结构并且在覆盖安全插件中的类时遇到问题我的结构有点像这样 Web App Audit Plugin Spring Security Core Plugin Security Wrappe
Angular JS + Node JS + Passport + Spring OAuth2 身份验证/授权

我是 PassportJS 和 AngularJS 的新手我对如何进行此授权有疑问我有由 Oauth2 保护的 Spring REST API 但我必须像这样一起发送用户凭据 http localhost 8080 myapp oaut
Spring Security 自定义过滤器

我想自定义 Spring security 3 0 5 并将登录 URL 更改为 login 而不是 j spring security check 我需要做的是允许登录目录并保护 admin report html 页面首先我使用教
Spring Security SAML2 使用 G Suite 作为 Idp

我正在尝试使用 Spring Security 5 3 3 RELEASE 来处理 Spring Boot 应用程序中的 SAML2 身份验证 Spring Boot 应用程序将成为 SP G Suite 将成为 IDP 在我的 Maven
Django Rest Framework 删除 csrf

我知道有关于 Django Rest Framework 的答案但我找不到解决我的问题的方法我有一个具有身份验证和一些功能的应用程序我向其中添加了一个新应用程序它使用 Django Rest Framework 我只想在这个应用程序
防止 Spring Boot 注册 Spring Security 过滤器之一

我想禁用安全链中的 Spring Security 过滤器之一我已经看到了防止 Spring Boot 注册 servlet 过滤器 https stackoverflow com questions 28421966 prevent s
带有 OpenId 提供程序的 Java Spring 安全性

我有一个 spring MVC 应用程序另一个客户端应用程序想要使用 open id connect 访问我的 spring 应用程序如何在服务器端实现开放ID提供商请帮忙 MITREid 连接 OpenID Connect Java
我需要在 Spring 中检查每个控制器中的有效会话吗？ [关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案假设在 Spring Mvc 的 Web 应用程序中我们是否需要检查每个控制器或 jsps 中的有效会话我该如何解决 MVC 中的
每个组织的 Spring Security 用户角色

在我的应用程序中我有一个名为组织的顶级实体用户和组织之间的关系是多对多的因此我可能会遇到以下情况用户拥有组织的角色 ROLE ADMIN 用户拥有组织的角色 ROLE USER 我需要确保当用户 A 访问 Organization

随机推荐

数据库设计：注册和验证

让未经验证的用户进入是一个好的选择吗 users table或者我应该做一个temp users table添加未验证的用户第一个选项是在users table以一列为例 account activated保存一个整数定义帐户是否经过验
Google 地图 Android 集群 OnCameraChangeListener() 已弃用

使用教程here https developers google com maps documentation android api utility marker clustering 我在我的 Android 应用程序中成功实现了集群
如何在字符串中添加补充 Unicode 字符？

如何放置补充 Unicode 字符例如代码点10400 http java sun com developer technicalArticles Intl Supplementary 010400 gif 在字符串文字中我尝试过像这
Mockito + Spring + @PostConstruct，mock初始化错误，为什么调用@PostConstruct？

我有一个像这样的设置 Bean class private final Map
Android Studio 未知模拟器正在运行且无法终止

I have one emulator actively running at the moment but I see two emulators running when I run the app One of them is an
Tkinter - 按钮图像透明背景

我已经弄清楚如何为按钮提供图像该图像位于标签顶部我想我可能会以冗长的方式这样做因为由于某种原因我无法在我的Mac上安装PIL 不管怎样它在某种程度上发挥了应有的作用我遇到的问题是它在两侧添加了空白然后图像本身不显示其透明背景我
将 jacoco-agent.properties 打包到 APK 中以便可以读取？

这是我的情况背景我正在调查我们的 Android 应用程序的代码覆盖率该应用程序是使用 Gradle 和 Android Studio 构建的我在两种情况下需要代码覆盖率报告在手动测试期间以及在使用我们庞大的 Appium 套件
为什么这个程序可以用 Java 7 编译，但不能用 Java 8 编译？ [复制]

这个问题在这里已经有答案了考虑这个程序 public class xx
如何在 Flash 中为图块列表创建自定义单元格渲染器

我需要实施一个自定义cell renderer在我的一个项目中我在谷歌上进行了一些搜索但找不到我需要的东西我需要每一个cell in the tile list显示 2 个图标labels 我需要一个很好的例子来开始它如果可能的话
如何设置带有螺纹和不同精度的FFTW？

我需要使用具有不同算术精度和多线程计划的 FFTW 我需要为所有精度设置多线程像这样 fftwf init threads fftwf plan with nthreads nthreads fftw init threads fftw
MVC Identity 2.2.1 - 主键 (Guid) 作为 UniqueIdentifier 而不是 nVarChar(128)

当前的项目 ASP NET 4 5 2 MVC 5 身份2 2 1 我遇到的问题之一是我在项目的其余部分中正确使用 GUID 数据库字段类型为 UniqueIdentifier 不幸的是 Identity 并不遵循相同的规则并且由于某些难
Java - 信号量释放而不获取

我有一些线程它们被赋予随机数 1 到 n 并被指示按排序顺序打印它们我使用信号量这样我获取的许可证数量随机数并释放比获取的许可证多的许可证获得随机数释放 1 随机数信号量的初始许可计数为 1 因此随机数为 1 的线程应该获
如何在界面生成器中对视图施加约束以满足 Xcode 8 中的所有 iphone 屏幕

我一直在尝试以下内容例如固定纵横比垂直间距水平垂直间距前导尾随间距但对于 iPhone SE 及以上版本的所有 iPhone 屏幕它并不能统一工作您不再对每个设备应用约束您可以为每个尺寸类别应用自动布局约束如果您知道
如何在前端js文件中安装、导入和使用DOMPurify？

这更像是一个您能否确认这是正确的类型的问题因为我认为我在编写问题的过程中解决了这个问题但希望这对其他在这方面有点犹豫的人有帮助实施DOM纯化 https github com cure53 DOMPurify 简洁版本进口和使用是
在 C++ 中，传递给函数的指针的更改是否反映在调用函数中？

如果我将指针P从函数f1传递给函数f2 并在f2中修改P的内容这些修改会自动反映在f1中吗例如如果我需要删除链表中的第一个节点 void f2 Node p Node tmp p p p gt next delete tmp 对 P
遮罩周围的 UIImage 边框

我目前的代码是在我的上创建一个面具image http jeroendeleeuw com post 33638733049 how to mask images with core graphics in ios UIImage mask
通过 openCSV 填充 Javabean - 代码解释

我刚刚开始使用 Java 有很多缺失的知识但我需要编写一个简单的类它将使用 openCSV 将 csv 文件转换为 JavaBean 我在这里找到了类似问题的一些答案但没有人能够帮助我到目前为止已经遇到过这段代码 ColumnPo
`$this->name` 和 `$this->$name` 有什么区别？

我想知道有什么区别 this gt name and this gt name 也确实 this必须严格命名this或者它可以是任何东西吗 this是保留变量名不能用于其他任何用途它特别指出您当前正在使用的对象您必须使用 this因为
显示绝对值 angularjs

我从 JSON 对象中得到一个负数我想删除负数中的只显示绝对值收到json value 2 34 我想展示的内容值为 2 34 您可以使用角度过滤器 js file angular module myApp filter makeP
Spring Security 中会话 cookie 的同站点标志

是否可以设置同站 Cookie https datatracker ietf org doc html draft west first party cookies 07Spring Security 中的标志如果没有请问是否有增加支持

Spring Security 中会话 cookie 的同站点标志

Spring Security 中会话 cookie 的同站点标志 的相关文章

随机推荐

热门标签

Spring Security 中会话 cookie 的同站点标志的相关文章