HTTP 쿠키 🍪

HTTP 쿠키란?

HTTP 쿠키(웹 쿠키, 브라우저 쿠키)는 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각이다. 브라우저는 그 데이터 조각들을 저장해 놓았다가, 동일한 서버에 재요청 시 저장된 데이터를 함께 전송한다. 쿠키는 두 요청이 동일한 브라우저에서 들어왔는지 아닌지를 판단할 때 주로 사용한다. ex) 사용자의 로그인 상태를 유지. 상태가 없는(stateless) HTTP 프로토콜에서 상태 정보를 기억시켜주기 때문입니다.

• 클라이언트에서 저장, 관리하는 데이터로 브라우저를 닫아도 데이터를 유지
• 서버에서 set-Cookie를 응답헤더로 내려주면 클라이언트는 받아서 저장한다.
• 클라이언트에서 자체 조작 가능
• 각 상태에 수명을 정할 수 있다.

목적

1. 세션 관리 : 서버에 저장해야 할 로그인, 장바구니, 스코어 등등...
2. 개인화 : 사용자 선호, 테마 등의 세팅
3. 트래킹 : 사용자 행동을 기록하고 분석하는 용도

   • 세션이란 통신을 하기 위해 서로 연결된 순간부터 통신을 마칠 때까지의 기간
   • HTTP 세션이란 클라이언트가 웹서버에 연결된 순간부터 웹 브라우저를 닫아 서버와의 HTTP 통신을 끝낼 때까지의 기간

과거에는 클라이언트 측에 정보를 저장할 유일한 방법이었을 때 쿠키를 주로 사용했지만 지금은 mordern storage APIs를 사용해 정보를 저장하는 것을 권장한다. 모든 요청마다 쿠키가 함께 전송되기 때문에 성능이 떨어지는 원인이 될 수 있기 때문이다.
정보를 저장하려면 Mordern APIs의 종류인 웹 스토리지 API ( localStorage와 sessionStorage ) 와 IndexedDB를 사용하면 된다.

HTTP 쿠키 작동방식

사진 출처
HTTP 요청을 수신할 때, 서버는 응답과 함께 set-Cookie 헤더를 전송할 수 있다. 보통 브라우저에 의해 저장되고, 이후 같은 서버에 의해 만들어진 요청들의 Cookie HTTP 헤더 안에 포함되어 전송된다.

간단한 쿠키는 다음과 같이 설정될 수 있다. HTTP 응답헤더는 서버로부터 사용자 에이전트로 전송된다.

Set-Cookie: <cookie-name>=<cookie-value>

서버 헤더는 클라이언트에게 쿠키를 저장하라고 전달 $\rightarrow$ 서버로 전송되는 모든 요청과 함께, 브라우저는 Cookie헤더를 사용하여 서버로 이전에 저장했던 모든 쿠키들을 회신

쿠키의 라이프타임

• 세션 쿠키는 현재 세션이 끝날 때 삭제(페이지 닫힐 때). 브라우저는 현새 세션이 끝나는 시점을 정의하며, 어떤 브라우저들은 재시작할 떄 세션을 복원해 세션 쿠키를 무한으로 존재할 수 있도록 한다.

• 영속적인 쿠키는 Expires 속성에 명시된 날짜에 삭제되거나 Max-Age 속성에 명시된 기간 이후에 삭제된다.

Secure 쿠키와 HTTPOnly

• Secure 쿠키
  • HTTP 프로토콜 상에서 암호화된 요청일 경우에만 전송 (https 일 때만)
  • 민감한 정보는 절대 쿠키에 저장 x
• HTTPSOnly 쿠키
  • JavaScript의 Document.cookie API로는 접근 x
  • 서버에게 전송되기만 한다.

쿠키의 스코프

쿠키의 스코프는 Domain과 Path를 사용하여 설정할 수 있다.

• Domain
  • 쿠키가 전송될 호스트들을 명시한다.
  • 만약 호스트가 명시되지 않는다면 서브 도메인은 포함되지 않는 현재 문서 위치의 호스트 일부를 기본값으로 한다.
  • 도메인이 명시되면, 서브 도메인들은 항상 포함된다.
• Path
  • cookie 헤더를 전송하기 위해 요청되는 URL 내에 반드시 존재해야 하는 URL 경로이다.

---

https://developer.mozilla.org/ko/docs/Web/HTTP/Cookies