关于解决Chrome新版本中cookie跨域携带和samesite的问题处理

参考资料:https://www.chromium.org/updates/same-site/incompatible-clients

新版本处理方式如下

针对Chrome版本67及以上

话不多说,代码如下:

@Configuration
public class SpringSessionConfig {
	@Bean
	public CookieSerializer httpSessionIdResolver() {
		DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
		cookieSerializer.setUseHttpOnlyCookie(false);
		cookieSerializer.setSameSite("None");
		cookieSerializer.setCookiePath("/");
		cookieSerializer.setUseSecureCookie(true);
		return cookieSerializer;
	}
}

注意,这个里面的SameSite不能设为null,设空的话,还是会走默认值Lax

其中,SameSite的值可以填3个:Strict,Lax,None.
缺省的值为Lax,而且当你设置其为空时,在新的Chrome中还是会给予默认值Lax.

3个模式的介绍

Strict

严格模式

Lax

宽松模式

None

可以在第三方环境中发送cookie
在这种模式下,必须同时启用Secure才行

Chrome版本(51~66)

在这些版本中,浏览器不接受SameSite=None.如果套用上面的代码会发现无法登录

解决方法1

在配置类中设置SameSite=null:

@Configuration
public class SpringSessionConfig {
	@Bean
	public CookieSerializer httpSessionIdResolver() {
		DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
		...
		cookieSerializer.setSameSite(null);
		...
	}
}

然后在登录完成后的获取用户信息接口中,对session进行重新赋值:

String userAgent = request.getHeader("user-agent");
Browser browser = UserAgent.parseUserAgentString(userAgent).getBrowser();
if(!CommonUtils.isEmpty(browser)&&browser.getName().contains("Chrome")){
    Version version = browser.getVersion(userAgent);
    if(!CommonUtils.isEmpty(version.getMajorVersion())){
        try{
            int majorVersion = Integer.parseInt(version.getMajorVersion());
            // 如果是谷歌并且版本大于等于67，则重赛COOKIE
            if(majorVersion>=67){
                List<String> cookieValues = CookieSetUtil.readCookieValues(request);
                cookieValues.forEach(cookieValueStr -> {
                    CookieSerializer.CookieValue cookieValue = new CookieSerializer.CookieValue(request, response, cookieValueStr);
                    CookieSetUtil.writeCookieValue(cookieValue);
                });
            }
        }catch (Exception e ){
            e.printStackTrace();
        }
    }
}

这里用到了获取浏览器版本的包,需要在pom.xml中配置:

<dependency>
         <groupId>eu.bitwalkergroupId>
         <artifactId>UserAgentUtilsartifactId>
         <version>1.20version>
dependency>

这里的CookieSetUtil类,就是复制的DefaultCookieSerializer类,主要用到了其中的2个方法:readCookieValues和writeCookieValue,并且我们需要修改SameSite的值:

sb.append("; SameSite=").append("None");

解决方法2

复写DefaultCookieSerializer类中的writeCookieValue方法.

依赖包说明

项目里面用到了session共享,所以需要增加依赖:

<dependency>
  <groupId>org.springframework.sessiongroupId>
    <artifactId>spring-session-data-redisartifactId>
dependency>

这个包里面已经有了spring-session-core的依赖

如果没有用到的话,CookieSerializer这个类是在spring-session-core这个包里面:

<dependency>
    <groupId>org.springframework.sessiongroupId>
    <artifactId>spring-session-coreartifactId>
    <version>2.1.4.RELEASEversion>
dependency>