davidchen27 2022-03-24 18:00 采纳率: 100%
浏览 428
已结题

Springboot2.6.4中, 设置sameSite为None, 小白发问

想请问一下大家, 我在我的Springboot项目的配置中设置了

server:
  servlet:
    session:
      cookie:
        same-site: none
        secure: true

就是把sameSite设为了none
请问这样会不会有什么安全问题, (我的跨域配置, 有设置允许指定的域名访问)
我就在想, 我跨域都设置了只允许这几个域名, 别人想利用CRFS漏洞的话, 也没法利用吧

@Override
  public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/**")
      .allowedOriginPatterns("http://localhost/", "http://192.168.43.201:5000/", "http://192.168.1.220:5000/")
      .allowedMethods("GET","HEAD","POST","DELETE","OPTIONS")
      .allowCredentials(true)
      .maxAge(3600)
      .allowedHeaders("*");
  }
  • 写回答

1条回答 默认 最新

  • Tomshidi 2022-03-24 18:24
    关注

    其他网页确实不能直接访问你的接口了,但是从服务器或者请求工具直接发起的请求是不带origin来源的,仍然拦不住。
    你还需要做ip白名单校验、请求次数限制、前端传到后端的参数值过滤特殊字符。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 4月2日
  • 已采纳回答 3月25日
  • 创建了问题 3月24日

悬赏问题

  • ¥20 非root手机,如何精准控制手机流量消耗的大小,如20M
  • ¥15 远程安装一下vasp
  • ¥15 自己做的代码上传图片时,报错
  • ¥15 Lingo线性规划模型怎么搭建
  • ¥15 关于#python#的问题,请各位专家解答!区间型正向化
  • ¥15 unity从3D升级到urp管线,打包ab包后,材质全部变紫色
  • ¥50 comsol温度场仿真无法模拟微米级激光光斑
  • ¥15 上传图片时提交的存储类型
  • ¥15 VB.NET如何绘制倾斜的椭圆
  • ¥15 arbotix没有/cmd_vel话题