express-session에서 cookie 설정값들의 의미과 설정 이유를 정리해봤다.
app.use(session({
resave: false,
saveUninitialized: false,
secret: process.env.COOKIE_SECRET,
cookie: {
httpOnly: true,
secure: false,
},
}));-
httpOnly
express-session의 cookie.httpOnly 옵션은 client-side JS의 document.cookie 내부 cookie 접근 허용 여부를 결정합니다. express는 인증된 세션 식별을 위해 cookie를 사용하고 있으므로, 세션 하이재킹이나 그 외 쿠키값 변질을 막기 위해 true로 설정했습니다.
ps) default-value: true -
secure
https는 https 인증서가 필요합니다. secure cookie는 https 상에서 암호화된 요청일 때만 전송되므로 인증서가 아직 없는 현재는 http를 사용한 테스트가 필요하다 생각되어 false로 설정했습니다. http에서의 정상 동작을 확인한 이후에 https로 전환하고자 합니다.
