springboot Cookie设置Secure为true

加密会话（SSL）Cookie 中缺少 Secure 属性

奉奉

4712人浏览 · 2022-05-24 17:49:35

奉奉 · 2022-05-24 17:49:35 发布

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

Cookie设置Secure为true

前言
一、采用springboot的ServletContextInitializer接口解决
总结

前言

AppScan漏洞扫描出：加密会话（SSL）Cookie 中缺少 Secure 属性
在这里插入图片描述

提示：以下是本篇文章正文内容，下面案例可供参考

一、采用springboot的ServletContextInitializer接口解决

ServletContextInitializer是由Spring提供的初始化接口

代码如下（示例）：

@Configuration
@EnableWebMvc
public class SwaggerConfig extends WebMvcConfigurerAdapter {


//现场需https协议的Cookie需设置Secure为true.
	@Bean
	public ServletContextInitializer servletContextInitializer() {
		return new ServletContextInitializer() {
			@Override
			public void onStartup(ServletContext servletContext) throws ServletException {
				servletContext.getSessionCookieConfig().setSecure(true);
			}
		};
	}

}

总结

注意：
在setSecure(true); 的情况下，只有https才传递到服务器端。http是不会传递的。
setSecure(true)意味着"指示浏览器仅通过 HTTPS 连接传回 cookie。这可以确保 cookie ID 是安全的，且仅用于使用 HTTPS 的网站。如果启用此功能，则 HTTP 上的会话 Cookie 将不再起作用。"