davidchen27 2022-03-24 18:00 采纳率: 100%
浏览 415
已结题

Springboot2.6.4中, 设置sameSite为None, 小白发问

想请问一下大家, 我在我的Springboot项目的配置中设置了

server:
  servlet:
    session:
      cookie:
        same-site: none
        secure: true

就是把sameSite设为了none
请问这样会不会有什么安全问题, (我的跨域配置, 有设置允许指定的域名访问)
我就在想, 我跨域都设置了只允许这几个域名, 别人想利用CRFS漏洞的话, 也没法利用吧

@Override
  public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/**")
      .allowedOriginPatterns("http://localhost/", "http://192.168.43.201:5000/", "http://192.168.1.220:5000/")
      .allowedMethods("GET","HEAD","POST","DELETE","OPTIONS")
      .allowCredentials(true)
      .maxAge(3600)
      .allowedHeaders("*");
  }
  • 写回答

1条回答 默认 最新

  • Tomshidi 2022-03-24 18:24
    关注

    其他网页确实不能直接访问你的接口了,但是从服务器或者请求工具直接发起的请求是不带origin来源的,仍然拦不住。
    你还需要做ip白名单校验、请求次数限制、前端传到后端的参数值过滤特殊字符。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 4月2日
  • 已采纳回答 3月25日
  • 创建了问题 3月24日

悬赏问题

  • ¥15 如何在scanpy上做差异基因和通路富集?
  • ¥20 关于#硬件工程#的问题,请各位专家解答!
  • ¥15 关于#matlab#的问题:期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707,使系统具有较小的超调量
  • ¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
  • ¥30 截图中的mathematics程序转换成matlab
  • ¥15 动力学代码报错,维度不匹配
  • ¥15 Power query添加列问题
  • ¥50 Kubernetes&Fission&Eleasticsearch
  • ¥15 報錯:Person is not mapped,如何解決?
  • ¥15 c++头文件不能识别CDialog