🍪 Cookie에 대해 알아보자

🚨 HTTP는 무상태(Stateless) 프로토콜이다. 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다.
👉 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.

쿠키란?

• 서버가 웹 브라우저에 정보를 저장하고 불러올 수 있는 수단이다. 해당 도메인에 대한 쿠키가 존재하면 웹 브라우저는 도메인에게 http 요청 시 쿠키를 함께 전달한다.
• 사용자 로그인 세션 관리, 광고 정보 트래킹에 사용된다.
• 쿠키 정보는 생성된 이후 항상 서버에 전송되기 때문에 네트워크 트래픽을 더 유발한다.
  👉 최소한의 정보만 사용해야 함(세션 id, 인증 토큰)
  🔎 서버 전송말고 웹 브라우저 내부에 저장하고 싶다면 웹 스토리지 참고

💀 주의 : 보안에 민감한 데이터는 저장하면 안됨(주민번호, 신용카드 번호 등)

쿠키 사용

• Set-Cookie : 서버에서 클라이언트로 쿠키 전달
  예) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure
• Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

🍪 쿠키를 사용하면?
클라이언트가 요청으로 데이터를 줬을 때 서버는 쿠키 저장소에 데이터를 저장한다. 다음에 클라이언트가 요청할 때 쿠키 저장소를 조회해서 조회된 쿠키를 포함하여 요청한다.

쿠키 옵션

생명 주기

• expires : 만료일이 되면 쿠키 삭제
  예) Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT
• max-age : 쿠키가 유효한 시간을 초단위로 설정, 0이나 음수를 지정하면 쿠키 삭제
  예) Set-Cookie: max-age=3600 (3600초)
• 세션 쿠키: MaxAge나 Expires 옵션이 없는 쿠키로 브라우저가 실행 중일 때만 사용할 수 있는 임시 쿠키. 브라우저를 종료하면 해당 쿠키 삭제
• 영속 쿠키: 브라우저 종료 여부와 상관없이 MaxAge나 Expires 옵션에 지정된 시간만큼 쿠키 사용 가능

도메인(domain)

• 명시 : 명시한 문서 기준 도메인 + 서브 도메인(도메인 앞에 있는 www같은 것) 포함
  • domain=example.org를 지정해서 쿠키 생성
    👉 example.org, dev.example.org도 쿠키 접근
• 생략 : 현재 문서 기준 도메인만 적용
  • example.org 에서 쿠키를 생성하고 domain 지정을 생략
    👉 example.org 에서만 쿠키 접근

경로(path)

• 적은 경로를 포함한 하위 경로 페이지(/user/login)만 쿠키 접근
• 일반적으로 path=/ 루트로 지정
• 설정된 경로를 포함하는 하위 경로로 요청을 해도 쿠키를 서버에 전송할 수 있다. path=/user라면 /user/login인 경우에도 쿠키 전송 가능

보안

• Secure
  • Secure이 true인 경우 프로토콜이 https인 경우에만 전송한다.
• HttpOnly
  • true인 경우 자바스크립트에서 접근 불가(document.cookie)
  • XSS 공격 방지
  • HTTP 전송에만 사용
• SameSite
  • XSRF(or CSRF) 공격 방지
  • Lax : Cross-Origin 요청이라면 GET 메소드에 대해서만 쿠키 전송
  • Strict : Cross-Origin이 아닌 same-site 인 경우에만 쿠키 전송
  • None : 항상 쿠키를 전송할 수 있지만 Secure 옵션이 추가로 필요함