问题标签 [samesite]

是否可以在 Spring Security中设置Same-site Cookie标志？

如果没有，请问是否在添加支持的路线图上？一些浏览器（即Chrome）已经支持。

我正在尝试在我的网站上使用 javascript 设置 SameSite 属性。代码是

正在设置 cookie，但未设置 SameSite 属性。知道我在哪里失踪吗？

谢谢

已使用 SameSite=Strict 属性设置 cookie。当 Javascript 在发出 XHR 请求之前尝试读取 cookie 时，cookie 似乎不可用。但开发人员工具显示 cookie 存在。此问题仅在最新版本的 Firefox 中发生。不知道我是否遗漏了什么。域和路径在 cookie 上设置正确。

我的应用程序有多个域，并且具有让用户切换到其他本地站点的功能。

当用户切换区域设置时，他将在域之间被重定向（对于每个域，应用程序将使用相同的区域设置设置 cookie）。

在重定向循环结束时，他将被重定向回“源”域（如果他将语言环境设置为具有专用域的特定国家 - 他将被重定向到专用域）。

区域设置 cookie 在重定向过程中成功设置（一个简单的 cookie - 不安全/仅限 http/严格）。

重定向过程基于 html 元标记（不是 PHP 标头，因为在这种情况下，重定向将在浏览器保存 cookie 之前发生）。

问题是：

身份验证 cookie 将从源域中删除。身份验证 cookie 是 http-only、安全和严格的（并且长期有效，因此不应过期）。

我猜这个问题与 cookie 安全设置有关，但我不知道为什么。有什么帮助吗？

我在通过弹出脚本中的 chrome 扩展处理 cookie 时遇到了一些麻烦。

popup.js 内容：

我执行的步骤：

1. 在本地主机上登录我的应用程序（所以我得到了 cookie）
2. 打开弹出窗口（因此 popup.js 被执行）
3. 我在控制台日志中看到 chrome 找到了必要的 cookie
4. 服务器说传入请求的 cookie 为空
5. 我刷新本地主机应用程序的页面
6. 我现在退出

也许有人知道我做错了什么？

编辑：

看来原因是我的cookie有参数HttpOnly=true和SameSite=Lax（相关链接）。我可以在服务器日志中看到另一个 cookie。但是由于这个线程credentials，如果参数设置为，所有的 cookie 都会被发送include，即使是 httpOnly cookie。我也尝试将它发送到 127.0.0.1 而不是 localhost 由于这个答案具有相同的结果。

我不能设置httpOnly为假。这是框架强制的。有人知道如何解决吗？

编辑2：

我终于安装了Cookie编辑器，发现SameSite=Lax是这个原因。如果我将其设置为，No Restriction那么我将在服务器端看到它。不幸的是，我使用的框架只允许Lax和Strict选项（Chrome 扩展都失败了）。有谁知道如何从 Chrome 扩展发送 Lax cookie？

我在 GTM 中设置跟踪时遇到了一些问题。当有人向我们发送邮件时，我创建的标签不会触发。

我想跟踪我网站上的 iframe 中的联系表单发送了多少邮件。邮件表单由我们的 CMS 系统提供，我可以访问该 iframe 的来源。

我在 GTM 中的设置如下所示：

所以我们有一个使用 JWT 访问令牌保护的平台。要访问平台 REST API，我们在 Bearer Authorization 标头中发送令牌；当获取静态内容（例如 SPA 的代码、CSS、字体，甚至是在 SPA 之间跳转）时，我们会在 Cookie 中发送令牌，因为我们无法控制这些请求。到目前为止我们还好...

在某个时间点，我们在 API 中添加了 Spring Security。这使我们的一些事情变得更容易，但是 SonarQube 显示了禁用 Spring Security 的 CSRF 保护的警告（在配置我们认为 pfff 的框架时，我们使用标头来传输我们的 JWT，我们不需要为我们的 API 提供 CSRF 保护），但我们试图无论如何解决警告。

调查我们遇到SameSite了 Cookies 的属性，如果这能解决我们所有的问题，我们有点困惑。

所以问题是：cookieSameSite的属性是否足以保护 CRSF？

如果是这样，有没有办法让 Spring Security / SonarQube 我们可以抵御此类攻击？

我有一个 Apache 2.4 和 Tomcat 9 设置。我需要在 JSESSIONID cookie 上设置 SameSite 属性。

使用Fiddler，我可以看到登录时cookies设置如下；

Set-Cookie: JSESSIONID=XXXXXXXXXXX; Path=/prod1; Secure; HttpOnly

我还想使用 Apache 在 cookie 上设置 SameSite 属性。我在 vhost conf 中有以下内容，但这似乎不起作用。

Header always edit* Set-Cookie "^(JSESSIONID.*)$" $1;SameSite=Lax

我知道 Header 指令有效，因为我在此行上方设置了其他属性（不是在 cookie 上）。但是，这似乎不起作用。我尝试了一些变体，但似乎无法使其正常工作。

有什么建议么？

我无法在“应用程序”选项卡中使用内置开发人员工具看到 SameSite=Strict。

我在 Apache 配置中添加了下面的标头代码

请让我知道如何使用上述设置设置 SameSite=Strict。

我有一个 JBoss AS7.1 Web 应用程序。我想让它更安全，所以我在 web.xml 中添加了一些属性。

结果是：

现在我想检查“SameSite”属性。我尝试创建一个 servlet 过滤器，在其中设置“Set-Cookie”属性的标头，如如何设置 SameSite 属性中所述？ 但它没有用。

任何人都知道，如何将“SameSite”属性添加到在 JBoss AS7.1 上运行的 JSF Web 应用程序？