쿠키

• Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답)
• Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

HTTP는 무상태 프로토콜이라고 했다.(Stateless)
클라이언트가 요청과 응답을 주고 받으면 연결이 끊어지는데
클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.

이를 해결하기 위해서 모든 요청에 사용자 정보를 포함하는 방법은
모든 요청에 사용자 정보가 포함되도록 개발 해야하기에 한계점이 존재한다.

해결

예) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure

쿠키 사용처

• 사용자 로그인 세션 관리
• 광고 정보 트래킹

쿠키 정보는 항상 서버에 전송됨

• 네트워크 트래픽 추가 유발
• 최소한의 정보만 사용(세션 id, 인증 토큰)
• 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 (localStorage, sessionStorage) 참고 (클라이언트 쪽에서 정보 보유하려고 할 때)

주의! 보안에 민감한 데이터는 저장하면 안됨(주민번호, 신용카드 번호 등등)

쿠키 생명주기

• Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT
  만료일이 되면 쿠키 삭제
• Set-Cookie: max-age=3600 (3600초)
  0이나 음수를 지정하면 쿠키 삭제
• 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
• 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지

쿠키 도메인

• 예) domain=example.org
• 명시:명시한 문서 기준 도메인 + 서브 도메인 포함
  domain=example.org를 지정해서 쿠키 생성
  example.org는 물론이고
  dev.example.org도 쿠키 접근
• 생략:현재 문서 기준 도메인만 적용
  example.org 에서 쿠키를 생성하고 domain 지정을 생략
  example.org 에서만 쿠키 접근
  dev.example.org는 쿠키 미접근
  

쿠키 경로

• 예) path=/home
• 이 경로를 포함한 하위 경로 페이지만 쿠키접근
• 일반적으로 path=/ 루트로 지정
• 예)
  path=/home 지정
  /home -> 가능
  /home/level1 -> 가능
  /home/level1/level2 -> 가능
  /hello -> 불가능

쿠키 보안

• Secure
  쿠키는 http, https를 구분하지 않고 전송
  Secure를 적용하면 https인 경우에만 전송
  
• HttpOnly
  XSS 공격 방지
  자바스크립트에서 접근 불가(document.cookie)
  HTTP 전송에만 사용
  
• SameSite
  XSRF 공격 방지
  요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송

참고

XSS(Cross-Site Scripting) 이란 SQL injection과 함께 웹 상에서 가장 기초적인 취약점 공격 방법중 하나로, 권한이 없는 사용자가 악의적인 용도로 웹 사이트에 스크립트를 삽입하는 공격 기법을 말합니다.
공격대상 : 클라이언트

사이트 간 요청 위조(XSRF 또는 CSRF라고 합니다.)는 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격입니다.
공격대상 : 서버