TIL35: Authentication / Cookie

charlie-lyc·2021년 1월 17일
0

Immersive Course TIL

목록 보기
35/39
post-thumbnail
  • Cookie: stateless(무상태성)의 HTTP에서 정보를 유지할 수 있게 서버가 일방적으로 클라이언트에 전달하여 브라우저에 저장하는 작은 데이터
    - 해당 도메인에 대해 쿠키가 존재하면 웹브라우저는 도메인에게 HTTP요청 시 쿠키를 함께 전달
    - 사용자의 인증정보, 장바구니정보 등 장시간 보존해야하는 정보 저장에 적합
    - 장시간 정보 저장의 장점은 오히려 자바스크립트에 의한 쿠키 접근 가능성을 높여 인증정보 유출의 가능성이 높음
  • Cookie Options
    - Domain: 도메인이 일치하는 경우 쿠키 전송
    - Path: 경로가 일치하는 경우 쿠키 전송
    - MaxAge or Expires: 쿠키의 유효기간 설정
    - HttpOnly: 자바스크립트의 쿠키에 대한 접근 가능여부 결정(false인 경우 XSS공격에 취약)
    - Secure: HTTPS에서만 쿠키 전송
    - SameSite: CORS요청의 경우 옵션 및 메소드에 따라 쿠키 전송
    - Lax: Cross-Origin 요청일 경우 'GET'메소드에 대해서만 쿠키를 전송
    - Strict: Cross-Origin 요청일 경우 쿠키를 전송하지 않고, 오로지 Same-Site 요청(Origin과 서버도메인이 같은) 경우에만 쿠키를 전송
    - None: 요청에 관계없이 항상 쿠키를 전송하되 Secure: true이어야 함

자료 출처: 코드스테이츠

0개의 댓글