쿠키
2개의 헤더사용
- Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답)
- Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달
쿠키 미사용시
로그인
- 로그인 한 정보로 응답 받고 싶지만 요청 정보에 없음
- HTTP는ㄴ Stateless이기 때문에
- 쿼리 파라미터롤 넘기는 방법도 있지만 너무 복잡
쿠키 사용시
로그인
- 응답에 포함된 쿠키 정보를 쿠키 저장소에 저장
- 이 후 요청시마다 쿠키 저장소를 조회해서 요청 메시지에 포함
정리
ex) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure
- 사용처
- 사용자 로그인 세션 관리
- 광고 정보 트래킹
- 쿠키 정보는 항상 서버에 전송됨
- 네트워크 추가 트래픽 유발
- 최소한의 정보만 사용하자(세션 id, 인증토큰)
- 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 참고
- 주의점
- 보안에 민감한 데이터는 저장하면 안된다(주민번호, 신용카드 번호, ...)
쿠키 - 생명주기
Expires, mas-age
- Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMY
- 만료일 되면 쿠키 삭제
- Set-Cookie: max-age=3600 (sec)
- 0이나 음수를 지정하면 쿠키 삭제
- 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
- 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지
쿠키 - 도메인
ex) domain=example.org
- 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함
- domain=example.org 지정해서 쿠키 생성
- example.org 쿠키 접근 가능
- dev.example.org 쿠키 접근 가능
- 생략: 현재 문서 기준 도메인만 적용
- example.org에서 쿠키를 생성하고 domain 지정 생략
- example.org에서만 쿠키 접근
- dev.example.org 에서 쿠키 접근 불가
쿠키 - 경로
ex) path=/home
- 이경로 포함한 하위 경로 페이지만 쿠키 접근
- 일반적으로 path=/ 루트로 지정
- /home -> 접근 가능
- /home/level1 -> 접근가능
- /hello -> 불가능
쿠키 - 보안
Secure, HttpOnly, SameSite
- Secure
- 쿠키는 http, https 구분하지 않고 전송
- Secure를 적용하면 https인 경우만 전송
- HttpOnly
- XSS 공격 방지
- 자바스크립트에서 접근 불가(document.cookie)
- HTTP 전송에만 사용
- SameSite
- XSPF 공격 방지
- 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송
