2021년 9월 6일에 작성된 문서 3번 입니다.
https 배운 내용을 정리했습니다.
Cookie
서버에서 클라이언트에 데이터를 저장하는 방법의 하나
- 서버는 클라이언트에서 쿠키를 이용하여 데이터를 가져올 수 있다.
- 쿠키를 이용하는 것은 서버에서 클라이언트에 쿠키를 전송하는 것만 의미하지 않고 클라이언트에서 서버로 쿠키를 전송하는 것도 포함.
쿠키의 특징
서버가 클라이언트에 데이터를 저장할 수 있다.
- 서버는 쿠키를 이용하여 데이터를 저장하고 원할 때 이 데이터를 다시 불러와 사용할 수 있다.
- 데이터를 저장한 이후 아무 때나 데이터를 가져올 수 없다.
- 데이터를 저장한 이후 특정 조건들이 만족하는 경우만 다시 가져올 수 있다.
쿠키 옵션
1. Domain
www.google.com과 같은 서버에 접속할 수 있는 이름
- 도메인은 포트 및 서브 도메인 정보, 세부 경로를 포함하지 않는다.
- 서브 도메인 :
www같은 도메인 앞에 추가로 작성되는 부분
- 서브 도메인 :
요청할 URL이
http://www.localhost.com:3000/users/login이면
여기에서 Domain은localhost.com
- 쿠키 옵션에서 도메인 정보가 존재한다면 클라이언트에서는 쿠키의 도메인 옵션과 서버의 도메인이 일치해야만 쿠키를 전송할 수 있다.
2. Path
서버가 라우팅할 때 사용하는 경로
요청할 URL이
http://www.localhost.com:3000/users/login면
여기에서 Path, 세부 경로는/users/login이 됩니다.
- 세부 경로를 명시하지 않으면 기본으로
/으로 설정되어 있다. - 설정된 path를 전부 만족하는 경우 요청하는 Path가 추가로 더 존재하더라도 쿠키를 서버에 전송할 수 있다.
즉 Path가
/users로 설정되어 있고, 요청하는 세부 경로가/users/login인 경우라면 쿠키 전송이 가능합니다.
하지만/user/login으로 전송되는 요청은 Path 옵션을 만족하지 못하기 때문에 서버로 쿠키를 전송할 수 없습니다.
3. MaxAge or Expires
쿠키가 유효한 기간을 정하는 옵션
- MaxAge : 앞으로 몇 초 동안 쿠키가 유효한지 설정하는 옵션
- Expires : 언제까지 유효한지
Date를 지정.- 이때 클라이언트의 시간을 기준
- 지정된 시간, 날짜를 초과하게 되면 쿠키는 자동으로 파괴.
- 두 옵션이 모두 지정되지 않는 경우에는 브라우저의 탭을 닫아야만 쿠키가 제거될 수 있다.
4. Secure
쿠키를 전송해야 할 때 사용하는 프로토콜에 따른 쿠키 전송 여부를 결정
- 옵션이
true로 설정된 경우, 'HTTPS' 프로토콜을 이용하여 통신하는 경우에만 쿠키를 전송할 수 있다.
5. HttpOnly
자바스크립트에서 브라우저의 쿠키에 접근 여부를 결정
- 옵션이
true로 설정된 경우, 자바스크립트에서는 쿠키에 접근이 불가. - 명시되지 않는 경우 기본으로
false로 지정.false면 자바스크립트에서 쿠키에 접근이 가능하므로 'XSS' 공격에 취약.
6. SameSite
Cross-Origin 요청을 받은 경우 요청에서 사용한 메소드와 해당 옵션의 조합으로 서버의 쿠키 전송 여부를 결정
SameSite 옵션
| 이름 | 설명 |
|---|---|
| Lax | Cross-Origin 요청이면 'GET' 메소드에 대해서만 쿠키를 전송 |
| Strict | Cross-Origin이 아닌 same-site 인 경우에만 쿠키를 전송 |
| None | 항상 쿠키를 보내줄 수 있지만 쿠키 옵션 중 Secure 옵션이 필요 |
same-site는 요청을 보낸 Origin과 서버의 도메인이 같은 경우를 말함.
- 옵션 지정 후, 서버에서 클라이언트로 쿠키를 처음 전송하면 헤더에
Set-Cookie라는 프로퍼티에 쿠키를 담아 쿠키를 전송 - 이후 클라이언트 혹은 서버에서 쿠키를 전송해야 한다면 클라이언트는 헤더에
Cookie라는 프로퍼티에 쿠키를 담아 서버에 쿠키를 전송.
Written with StackEdit.
