Samesite属性设置

目的:防御CSRF
Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。
SameSite的取值可以为:
(1)unset(默认)。这种情况浏览器可能会采用自己的策略。
(2)none。存在CSRF风险。
(2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
(3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie
进展:
方式一:tomcat8 及以上可以在 /conf/context.xml 文件里面的<Context>节点里加一个子节点

<Context>
   <CookieProcessor sameSiteCookies="lax" />
</Context

方式二:在过滤器中设置响应头

        String cookieHeader = req.getHeader("Cookie");
        if(cookieHeader != null) {      
        	 String[] cookiesHeaders = cookieHeader.split(";");
             boolean firstHeader = true;
         	 for (String header : cookiesHeaders) {
         		header = header.trim();
         		if(header != null) {
         			String[] headStr = header.split("=");
             		if(headStr[0].equals("名称")&&firstHeader) {
             			firstHeader = false;
             			resp.setHeader("Set-Cookie", String.format("%s; %s", header, "Path=/;HttpOnly=True;Secure=true;SameSite=Lax;"));
             		 }
         		}
              }
        }
# java # 后端
Logo
技术共进,成长同行——讯飞AI开发者社区

技术共进,成长同行——讯飞AI开发者社区

更多推荐

第71篇:AI+能源:智能电网、新能源预测与节能优化

摘要:本文系统性地深入探讨人工智能在能源领域的革命性应用。我们首先解析智能电网(Smart Grid)的核心机制——AI如何融合实时电力数据(发电、输电、配电、用电)、气象信息、用户行为,通过强化学习(Reinforcement Learning)与优化算法(如线性规划、混合整数规划),实现电力的动态调度、供需平衡、故障预测与自愈,构建更安全、高效、弹性的电力系统。

avatar 讯飞AI开发者社区
cover

《Python程序设计》课程智能问答系统

avatar 讯飞AI开发者社区

机器学习与人工智能

python# 创建基类# 定义一对多关系# 定义多对一关系# 定义多对多关系(通过关联表)# 关联表(用于多对多关系)SQLAlchemy ORM提供了强大而灵活的数据库操作方式,通过本文的介绍,您应该能够:安装和配置SQLAlchemy定义数据模型和关系执行基本的CRUD操作构建复杂查询管理数据库事务遵循最佳实践SQLAlchemy还有更多高级特性,如混合属性、事件监听、自定义查询等,值得进一

avatar 讯飞AI开发者社区