springboot跨域如何設置SameSite的實(shí)現
發(fā)布時(shí)間:2021-07-17 21:51
來(lái)源:腳本之家
閱讀:0
作者:秋風(fēng)浪子
欄目: 編程語(yǔ)言
歡迎投稿:712375056
前言
今天記錄一個(gè)前段時(shí)間遇到的一個(gè)小問(wèn)題的解決方法, 跨域!!!
相信跨域這個(gè)問(wèn)題, 做開(kāi)發(fā)的或多或少都遇到過(guò), 而且已經(jīng)有很多博主已經(jīng)分享了相關(guān)的內容, 這次我用他們的方式都沒(méi)有解決到, 所以記錄一下.
問(wèn)題
我們公司有個(gè)系統的域名跟主系統的域名不一致, 但是我們又需要把所有的系統都集成在一個(gè)框架下面, 使用的是iframe技術(shù)來(lái)實(shí)現. 使用單點(diǎn)登錄來(lái)做所有系統的登錄. 這樣的設計就導致我們訪(fǎng)問(wèn)域名不同的系統的時(shí)候, 會(huì )有跨域的問(wèn)題. 通常的解決方式這樣, 在springboot里面設置跨域攔截器, 可以實(shí)現跨域訪(fǎng)問(wèn).
但是, 但是, 我們使用了這個(gè)配置之后, 依然無(wú)法實(shí)現登錄, 最明顯的一個(gè)問(wèn)題就是每次請求的sessionid都不一樣, 即使是同一個(gè)頁(yè)面的多個(gè)請求, sessionid也不一樣.這樣我們就無(wú)法通過(guò)session來(lái)保留會(huì )話(huà).
解決方法
經(jīng)過(guò)老夫不懈的Google, 最開(kāi)始定位到問(wèn)題的原因是因為Google瀏覽器的SameSite屬性導致的. Chrome 51 開(kāi)始���,瀏覽器的 Cookie 新增加了一個(gè)SameSite屬性���,用來(lái)防止 CSRF 攻擊和用戶(hù)追蹤����。這個(gè)屬性有3個(gè)值, 具體的介紹可以看這篇文章 里面講的很詳細.
我們選擇的是直接關(guān)閉這個(gè)屬性,設置為None, 就像這樣:
response.setHeader("Set-Cookie", "SameSite=None;Secure;JSESSIONID=xxx");
注意, 上面的代碼有個(gè)坑
這樣設置時(shí)候, 我們期望的是一個(gè)請求后, cookie里面能夠設置JSESSIONID. 然而, 并沒(méi)有達到我們的預期效果
在老夫的頭發(fā)快抓完的時(shí)候, 在反反復復的閱讀了上面的之后, 老夫抱著(zhù)嘗試的心態(tài)改了一下上面的代碼, 如下:
response.setHeader("Set-Cookie", "JSESSIONID=xxx;SameSite=None;Secure");
仔細看, 僅僅是JSESSIONID的位置改變了一下. 然后就成功了, 蒼天啊~ 大地啊~僅僅是一個(gè)位置啊~~~~~~~
到此這篇關(guān)于springboot跨域如何設置SameSite的實(shí)現的文章就介紹到這了,更多相關(guān)springboot跨域設置SameSite內容請搜索腳本之家以前的文章或繼續瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�!
