Flag di sicurezza sui Cookie distribuiti in applicazione Spring

di
viinz
il
2 risposte
V
viinz
Pochi posts
Iscritto da
giu, 2024
Messaggi:
10

Flag di sicurezza sui Cookie distribuiti in applicazione Spring

Ciao a tutti, sto avendo un problema sulla gestione dei cookie distribuiti in un'applicazione Spring.

Mi è stato chiesto di impostare i flag di sicurezza sui vari Cookie (SameSite, HttpOnly e Secure) per rafforzare la sicurezza. Cercando delle info in giro ho provato ad aggiungere tre righe al mio application.properties che hanno fatto sì che solo il JSESSIONID abbia i tre flag impostati correttamente:

server.servlet.session.cookie.secure=true
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.same-site=strict

Potreste darmi qualche consiglio su come gestire questa cosa dei Cookie? Ho provato anche un po' utilizzando Spring Security (utilizzato già per aggiungere degli Headers) ma senza risultati.

2 Risposte

  • By65Franco
    By65Franco
    Molto attivo
    Iscritto da
    apr, 2023
    Messaggi:
    1477

    Re: Flag di sicurezza sui Cookie distribuiti in applicazione Spring

    Ciao,

    quello che hai impostato in application properties va bene e si comporta come hai descritto.
    Non è ereditabile e pertanto peri nuovi cookie devi andare ad impostare manualmente... almeno questo è quello che ho capito da alcune documentazioni.

    Hai già consultato questa documentazione ?  
    https://docs.spring.io/spring-session/reference/guides/java-custom-cookie.html#custom-cookie-sample

  • V
    viinz
    Pochi posts
    Iscritto da
    giu, 2024
    Messaggi:
    10

    Re: Flag di sicurezza sui Cookie distribuiti in applicazione Spring

    In effetti ho provato a pulire un po' i cookie perchè ho notato che alcuni salvati per localhost non erano relativi a quel progetto.. ora con le modifiche fatte nel file application.properties riesco a vedere i cookie con i flag impostati HttpOnly, Secure e SameSite=Strict.

    L'unica cosa, non capisco perchè riesco a vedere i cookie solo su Firefox mentre su Edge e Chrome sono nascosti in F12 -> Applicazione -> Cookies -> localhost. L'unico modo che ho di vederli su questi due browser e fare click sul lucchetto vicino all'URL e vedere i cookie da lì. Mi sapete dire il perchè, ho provato anche reimpostare tutti i valori perchè ricordo che i cookie con Secure=true non vengono mostrati su connessioni HTTP ma comunque non riesco a vederli... su Firefox riesco a vederli in ogni modo.

Devi accedere o registrarti per scrivere nel forum
2 risposte