HTTP 프로토콜의 특성이자 약점을 보완하기 위해서 쿠키 또는 세션을 사용한다.
기본적으로 HTTP 프로토콜 환경은 "connectionless, stateless"한 특성을 가지기 때문에 서버는 클라이언트가 누구인지 매번 확인해야한다. 이 특성을 보완하기 위해서 쿠키와 세션을 사용한다.
// example
cookie: {
domain: 'localhost',
path: '/',
maxAge: 24 * 6 * 60 * 10000,
sameSite: 'none',
httpOnly: true,
secure: true,
},
Domain
: 쿠키의 도메인 옵션과 서버의 도메인이 일치해야만 쿠키를 전송할 수 있다.Path
: 쿠키의 path 옵션과 서버의 세부경로가 일치하는 경우 쿠키를 전송할 수 있다.MaxAge/Expires
: 쿠키의 유효기간 설정HttpOnly
: 스크립트의 쿠키접근 가능 여부 결정, false로 설정되어 있는 경우 스크립트태그로 쿠키에 접근 가능하다. XSS 방어에 도움이 된다.Secure
: 해당 옵션이 true로 설정되어 있는 경우, https 프로토콜에서만 쿠키 전송 가능하다.SameSite
: 1. Domain
Domain은 쿠키의 스코프를 정의하며 쿠키가 어느 웹사이트에서 만든 것인지 알려줍니다.
또한 보안상의 이유로 현재 리소스의 최상위 도메인과 하위 도메인만 설정 가능합니다.
EX) hangame.com은 payco.com 도메인을 가진 쿠키를 생성할 수 없습니다.
서버에서 정해주지 않는다면 쿠키가 생성될 때의 요청 도메인으로 설정됩니다.
Domain이 있는 것과 없는 것도 차이가 존재합니다.
hangame.com에서 쿠키를 만들때 Domain 값을 지정하지 않은 경우
hangame.com에서만 쿠키가 전송이 됩니다.
hangame.com에서 쿠키를 만들때 Domain 값을 hangame.com으로 지정한 경우
accounts.hangame.com같은 서브도메인에서도 전송이 됩니다.
2. Path
Domain과 마찬가지로 쿠키의 스코프를 정의하며 쿠키가 웹사이트의 어느 경로에서 사용하는 것인지 알려줍니다.
Path가 설정된 경우 Path가 일치하는 경우에만 쿠키를 전송합니다.
Path를 명시하지 않으면 Set-Cookie 헤더를 전송한 서버의 경로를 사용합니다.
세션 쿠키의 이중적 의미
기본적으로 세션 쿠키는 브라우저가 종료되면 삭제되는 쿠키를 의미하고, 세션 ID를 저장하고 있는 쿠키를 세션 쿠키라고도 부른다. 만약 브라우저를 닫고 다시 열었을 때에도 로그인 상태를 유지하고 싶으면 영속 쿠키에 세션 ID를 저장해야 할 것이고, 아니라면 세션 쿠키에 세션 ID를 담으면 된다.
[출처]
1. https://velog.io/@namezin/Cookie
2. https://interconnection.tistory.com/74
3. https://dev-coco.tistory.com/61
4. https://velog.io/@9rganizedchaos/%EC%BF%A0%ED%82%A4-%EC%BF%A0%ED%82%A4-%EC%BF%A0%ED%82%A4
5. https://meetup.toast.com/posts/172
6. https://bentist.tistory.com/86