不幸的是，从4.0.1版开始，servlet-api不允许你在Cookie中添加Same-Site属性，希望这一点很快会改变。
但同时，您可以提供自己的CsrfTokenRepository实现，直接在HTTP头中设置cookie，而不是将Cookie添加到HttpServletResponse（因此受到servlet-api的cookie表示的限制）：

public class CustomCsrfTokenRepository implements CsrfTokenRepository {
    // implement other methods...

    @Override
    public void saveToken(CsrfToken token, HttpServletRequest request,
            HttpServletResponse response) {

        // some version of this:
        response.setHeader("Set-Cookie", "HttpOnly; SameSite=strict");
    }
}

您可以查看CookieCsrfTokenRepository以填补空白。

顺便说一句，按照NatFars的回答，这个解决方案在Kotlin中特别简单，在Kotlin中，你可以委托给其他对象，而不必以黑客的方式从原始对象复制代码：

class CookieCsrfTokenRepositoryWrapper(private val repo: CsrfTokenRepository): CsrfTokenRepository by repo {

    override fun saveToken(token: CsrfToken?, req: HttpServletRequest?, res: HttpServletResponse?) {
        repo.saveToken(token, req, res)
        res?.getHeaders("Set-Cookie")?.toList()?.forEach {
            if(it.contains("XSRF") && !it.contains("SameSite"))
                res.setHeader("Set-Cookie", "$it; SameSite=strict")
        }
    }
}

val repo = CookieCsrfTokenRepositoryWrapper(CookieCsrfTokenRepository.withHttpOnlyFalse())

关于在Kotlin的授权：https://kotlinlang.org/docs/reference/delegation.html

从Spring-Security 6.1开始就有了方法
setCookieCustomizer(Consumer<ResponseCookie.ResponseCookieBuilder> cookieCustomizer)
它允许注册一个定制器，如：

final CookieCsrfTokenRepository repo = CookieCsrfTokenRepository.withHttpOnlyFalse();
repo.setCookieCustomizer((x) -> x.sameSite(Cookie.SameSite.NONE.attributeValue()));