Flag di sicurezza sui Cookie distribuiti in applicazione Spring

di viinz il
2 risposte

Ciao a tutti, sto avendo un problema sulla gestione dei cookie distribuiti in un'applicazione Spring.

Mi è stato chiesto di impostare i flag di sicurezza sui vari Cookie (SameSite, HttpOnly e Secure) per rafforzare la sicurezza. Cercando delle info in giro ho provato ad aggiungere tre righe al mio application.properties che hanno fatto sì che solo il JSESSIONID abbia i tre flag impostati correttamente:

server.servlet.session.cookie.secure=true
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.same-site=strict

Potreste darmi qualche consiglio su come gestire questa cosa dei Cookie? Ho provato anche un po' utilizzando Spring Security (utilizzato già per aggiungere degli Headers) ma senza risultati.

2 Risposte

  • In effetti ho provato a pulire un po' i cookie perchè ho notato che alcuni salvati per localhost non erano relativi a quel progetto.. ora con le modifiche fatte nel file application.properties riesco a vedere i cookie con i flag impostati HttpOnly, Secure e SameSite=Strict.

    L'unica cosa, non capisco perchè riesco a vedere i cookie solo su Firefox mentre su Edge e Chrome sono nascosti in F12 -> Applicazione -> Cookies -> localhost. L'unico modo che ho di vederli su questi due browser e fare click sul lucchetto vicino all'URL e vedere i cookie da lì. Mi sapete dire il perchè, ho provato anche reimpostare tutti i valori perchè ricordo che i cookie con Secure=true non vengono mostrati su connessioni HTTP ma comunque non riesco a vederli... su Firefox riesco a vederli in ogni modo.

Devi accedere o registrarti per scrivere nel forum
2 risposte