К сожалению, начиная с версии 4.0.1, servlet-api не позволяет добавлять атрибут Same-Site к Cookie. Надеюсь, это скоро изменится.
Но в то же время вы можете предоставить собственную реализацию CsrfTokenRepository, которая вместо добавления Cookie к HttpServletResponse (и, следовательно, будет ограничена представлением сервлет-API). повара ie), устанавливает повара ie непосредственно в заголовке HTTP:
public class CustomCsrfTokenRepository implements CsrfTokenRepository {
// implement other methods...
@Override
public void saveToken(CsrfToken token, HttpServletRequest request,
HttpServletResponse response) {
// some version of this:
response.setHeader("Set-Cookie", "HttpOnly; SameSite=strict");
}
}
Вы можете взглянуть на CookieCsrfTokenRepository, чтобы заполнить пробелы.