Spring Session 跨域时 Cookie SameSite 问题

SameSite 是一种新的cookie属性值，用来防止CSRF攻击，具体可看：

https://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

它有两个属性

Strict：严格模式，完全禁止第三方 Cookie，跨站点时，任何情况下都不会发送 Cookie。

Lax：宽松模式，允许Get请求的第三方Cookie，其他请求依然禁止。

Spring-session 默认把SameSite 设置成Lat，使用spring session进行session管理，当其他系统需要跨域请求这个系统时就会出现每一次请求的SESIONID都会变得情况。

需要对生成的cookie进行修改，去掉SameSite属性或者改为None

	@Bean
    public CookieSerializer httpSessionIdResolver(){
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        cookieSerializer.setCookieName("token");
        cookieSerializer.setUseHttpOnlyCookie(false);
        cookieSerializer.setSameSite(null);
        return cookieSerializer;
    }

posted @ 2020-10-20 18:12 yg0070 阅读(1835) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

yg0070

Spring Session 跨域时 Cookie SameSite 问题

公告