想请问一下大家, 我在我的Springboot项目的配置中设置了
server:
servlet:
session:
cookie:
same-site: none
secure: true
就是把sameSite设为了none
请问这样会不会有什么安全问题, (我的跨域配置, 有设置允许指定的域名访问)
我就在想, 我跨域都设置了只允许这几个域名, 别人想利用CRFS漏洞的话, 也没法利用吧
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOriginPatterns("http://localhost/", "http://192.168.43.201:5000/", "http://192.168.1.220:5000/")
.allowedMethods("GET","HEAD","POST","DELETE","OPTIONS")
.allowCredentials(true)
.maxAge(3600)
.allowedHeaders("*");
}
其他网页确实不能直接访问你的接口了,但是从服务器或者请求工具直接发起的请求是不带origin来源的,仍然拦不住。
你还需要做ip白名单校验、请求次数限制、前端传到后端的参数值过滤特殊字符。