davidchen27 2022-03-24 18:00 采纳率: 100%
浏览 412
已结题

Springboot2.6.4中, 设置sameSite为None, 小白发问

想请问一下大家, 我在我的Springboot项目的配置中设置了

server:
  servlet:
    session:
      cookie:
        same-site: none
        secure: true

就是把sameSite设为了none
请问这样会不会有什么安全问题, (我的跨域配置, 有设置允许指定的域名访问)
我就在想, 我跨域都设置了只允许这几个域名, 别人想利用CRFS漏洞的话, 也没法利用吧

@Override
  public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/**")
      .allowedOriginPatterns("http://localhost/", "http://192.168.43.201:5000/", "http://192.168.1.220:5000/")
      .allowedMethods("GET","HEAD","POST","DELETE","OPTIONS")
      .allowCredentials(true)
      .maxAge(3600)
      .allowedHeaders("*");
  }
  • 写回答

1条回答 默认 最新

  • Tomshidi 2022-03-24 18:24
    关注

    其他网页确实不能直接访问你的接口了,但是从服务器或者请求工具直接发起的请求是不带origin来源的,仍然拦不住。
    你还需要做ip白名单校验、请求次数限制、前端传到后端的参数值过滤特殊字符。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 4月2日
  • 已采纳回答 3月25日
  • 创建了问题 3月24日

悬赏问题

  • ¥15 gwas 分析-数据质控之过滤稀有突变中出现的问题
  • ¥15 没有注册类 (异常来自 HRESULT: 0x80040154 (REGDB_E_CLASSNOTREG))
  • ¥15 知识蒸馏实战博客问题
  • ¥15 用PLC设计纸袋糊底机送料系统
  • ¥15 simulink仿真中dtc控制永磁同步电机如何控制开关频率
  • ¥15 用C语言输入方程怎么
  • ¥15 网站显示不安全连接问题
  • ¥15 51单片机显示器问题
  • ¥20 关于#qt#的问题:Qt代码的移植问题
  • ¥50 求图像处理的matlab方案