在 Spring Boot 中将 jsessonid cookie 设置为 SameSite=Strict 属性？答案

【问题标题】：Setting jsessonid cookie to SameSite=Strict attribute in spring boot?在 Spring Boot 中将 jsessonid cookie 设置为 SameSite=Strict 属性？
【发布时间】：2019-04-02 07:19:23
【问题描述】：

将 jsessionId cookie 设置为 SameSite=Strict 的 spring-boot 配置是什么。

JsessionId 需要添加 SameSite=Strict 或现有 cookie 不是新 cookie 生成。是否支持？

【问题讨论】：

Same-Site cookie in Spring Security的可能重复
是的，但需要 SameSite=Strict 用于 jsessionId cookie
检查此解决方案。您可能可以通过一些调整来解决问题。 stackoverflow.com/a/64558083/4423695

标签： java spring-boot security cookies

【解决方案1】：

使用 Undertow 2.1.0.Final 及更高版本，您可以这样做：

public static final String COOKIE_PATTERN = "JSESSIONID";

@Bean
public UndertowServletWebServerFactory undertowServletWebServerFactory() {
    UndertowServletWebServerFactory undertow = new UndertowServletWebServerFactory();
    
    undertow.addDeploymentInfoCustomizers(
            deploymentInfo -> deploymentInfo.addInitialHandlerChainWrapper(
                    handler -> new SameSiteCookieHandler(handler, CookieSameSiteMode.STRICT.name(), COOKIE_PATTERN)
            ));
    
    return undertow;
}

【讨论】：

【解决方案2】：

我使用 Rfc6265CookieProcessor 在 Spring Boot 应用程序中配置 SameSite 标志作为解决方法。

build.gradle：

dependencies {
    implementation 'org.springframework.boot:spring-boot-starter-tomcat'
    ...
}

主类中的配置：

@Bean
public ServletWebServerFactory servletContainer() {
    return new TomcatServletWebServerFactory() {
        @Override
        protected void postProcessContext(Context context) {
            Rfc6265CookieProcessor rfc6265CookieProcessor = new Rfc6265CookieProcessor();
            rfc6265CookieProcessor.setSameSiteCookies("Strict");
            context.setCookieProcessor(rfc6265CookieProcessor);
        }
    };
}

【讨论】：

你需要导入的Context类来自org.apache.catalina.Context

【解决方案3】：

根据this open issue in Spring Security，目前尚不支持。

【讨论】：