쿠키
HTTP 쿠키는 웹쿠키, 브라우저 쿠키로도 불리며 사용자 웹 브라우저에 저장되는 작은 데이터 파일이다. 쿠키에는 이름, 값, 만료 날짜, 경로 정보가 들어있다.
쿠키는 Response Header의 Set-Cookie을 사용하여 클라이언트에 쿠키 정보를 저장할 수 있다. 그리고 이렇게 만들어진 쿠키는 클라이언트가 요청 시 마다 Request Header에 포함하여 서버에 전송한다.
- 예
- set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure
- 사용처
- 사용자 로그인 세션 관리
- 광고 정보 트래킹
- 쿠키 정보는 항상 서버에 전송된다.
- 네트워크 트래픽 추가 유발
- 최소한의 정보만 사용(세션 id, 인증토큰)
- 보안에 민감한 데이터는 저장하면 안된다.(주민등록번호, 신용카드 번호, 비밀번호 등)
생명주기
쿠키는 Expires와 max-age 속성을 활용하여 생명주기를 설정할 수 있다.
- 예
- expires=Sat, 26-Dec-2020 04:39:21 GMT (만료일이 되면 쿠키 삭제)
- max-age=3600(3600초 - 0이나 음수를 지정하면 쿠키 삭제)
- 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료 시 까지만 유지
- 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지
도메인
도메인은 쿠키가 전송되게 될 호스트들을 명시한다.
- 예
- domain=example.org
- 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함
- domain=example.org를 지정해서 쿠키를 생성(
example.org는 물론이고dev.example.org도 쿠키 접근)
- domain=example.org를 지정해서 쿠키를 생성(
- 생략: 현재 문서 기준 도메인만 적용
- example.org에서 쿠키를 생성하고 domain 지정을 생략(
example.com에서만 쿠키 접근,dev.example.org는 쿠키 미접근)
- example.org에서 쿠키를 생성하고 domain 지정을 생략(
경로
경로는 Cookie 헤더를 전송하기 위하여 요청되는 URL 내에 반드시 존재해야 하는 URL 경로입니다.
- 예
- path=/home (이 경로를 포함한 하위 경로 페이지만 쿠키 접근)
- 일반적으로 path=/(루트)로 지정
- path=/home 지정 시
- /home -> 가능
- /home/level1 -> 가능
- /home/level1/level2 -> 가능
- /hello -> 불가능
보안
- Secure
- 쿠키는 http, https를 구분하지 않고 전송
- Secure를 적용하면 https인 경우에만 전송
- HttpOnly
- XSS 공격 방지
- 자바스크립트에서 접근 불가(document.cookie)
- HTTP 전송에만 사용
- SameSite
- XSRF 공격 방지
- 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송
Comments powered by Disqus.