Cookie(쿠키)

이건주·2022년 8월 6일
web세션쿠키
0

쿠키와 세션

목록 보기
1/1
post-thumbnail

Cookie란

HTTP 프로토콜의 특성이자 약점을 보완하기 위해서 쿠키 또는 세션을 사용한다.

기본적으로 HTTP 프로토콜 환경은 "connectionless, stateless"한 특성을 가지기 때문에 서버는 클라이언트가 누구인지 매번 확인해야한다. 이 특성을 보완하기 위해서 쿠키와 세션을 사용한다.

  • 컴퓨터(브라우저)에 저장하는 작은 기록 정보 파일이다.
  • 클라이언트의 상태 정보를 로컬에 저장하였다가 필요시 정보를 참조하거나 재사용할 수 있다.
  • 이름(Key), 값(Value), 만료일(저장기간), 경로 정보로 구성되어 있다.
  • 클라이언트에 총 300개의 쿠키를 저장할 수 있다.
  • 하나의 도메인 당 20개의 쿠키를 가질 수 있다.
  • 하나의 쿠키는 4KB(=4096byte)까지 저장 가능하다.
  • Response Header에 Set-Cookie 속성을 사용하여 클라이언트에 쿠키를 만든다.
  • 쿠키는 사용자가 따로 요청하지 않아도 브라우저가 Request시에 Request Header를 넣어서 자동으로 서버에 전송한다.
  • 서버에서 쿠키를 읽어 이전 상태 정보를 변경 할 필요가 있을 때 쿠키를 업데이트 하여 변경된 쿠키를 HTTP 헤더에 포함시켜 응답

쿠키 옵션

// example
    cookie: {
      domain: 'localhost',
      path: '/',
      maxAge: 24 * 6 * 60 * 10000,
      sameSite: 'none',
      httpOnly: true,
      secure: true,
    },
  • Domain: 쿠키의 도메인 옵션과 서버의 도메인이 일치해야만 쿠키를 전송할 수 있다.
  • Path: 쿠키의 path 옵션과 서버의 세부경로가 일치하는 경우 쿠키를 전송할 수 있다.
  • MaxAge/Expires: 쿠키의 유효기간 설정
  • HttpOnly: 스크립트의 쿠키접근 가능 여부 결정, false로 설정되어 있는 경우 스크립트태그로 쿠키에 접근 가능하다. XSS 방어에 도움이 된다.
  • Secure: 해당 옵션이 true로 설정되어 있는 경우, https 프로토콜에서만 쿠키 전송 가능하다.
  • SameSite:
    • CORS 요청의 경우, 옵션 및 메서드에 따라 쿠키 전송 여부 결정. (Lax-'GET' 메소드에 대해서만 쿠키 전송 가능, Strict-CrossOrigin이 아닌 sameSite에 대해서만 쿠키 전송 가능, None-항상 쿠키전송 가능하지만 쿠키옵션중 secure 옵션이 활성화되어야 함)
    • SameSite 옵션이 Strict가 아닌 경우, 다른 도메인에서 요청할 때도 자동 전송되는 위험성이 있다. (CSRF 취약)

1. Domain
Domain은 쿠키의 스코프를 정의하며 쿠키가 어느 웹사이트에서 만든 것인지 알려줍니다.
또한 보안상의 이유로 현재 리소스의 최상위 도메인과 하위 도메인만 설정 가능합니다.
EX) hangame.com은 payco.com 도메인을 가진 쿠키를 생성할 수 없습니다.
서버에서 정해주지 않는다면 쿠키가 생성될 때의 요청 도메인으로 설정됩니다.
Domain이 있는 것과 없는 것도 차이가 존재합니다.
hangame.com에서 쿠키를 만들때 Domain 값을 지정하지 않은 경우
hangame.com에서만 쿠키가 전송이 됩니다.
hangame.com에서 쿠키를 만들때 Domain 값을 hangame.com으로 지정한 경우
accounts.hangame.com같은 서브도메인에서도 전송이 됩니다.

2. Path
Domain과 마찬가지로 쿠키의 스코프를 정의하며 쿠키가 웹사이트의 어느 경로에서 사용하는 것인지 알려줍니다.
Path가 설정된 경우 Path가 일치하는 경우에만 쿠키를 전송합니다.
Path를 명시하지 않으면 Set-Cookie 헤더를 전송한 서버의 경로를 사용합니다.

  • 명시된 날짜(Expires)에 만료되거나 혹은 명시된 시간(MaxAge) 이후에 만료된다.
  • 클라이언트가 종료되면 삭제되는 쿠키
  • MaxAge/Expires이 명시되어 있지 않다.
  • 세션 ID를 담고 있는 쿠키와는 다른 의미이다. 세션 쿠키의 의미는 세션 ID의 포함 유무에 따른 것이 아니라 쿠키의 존속 여부다.

세션 쿠키의 이중적 의미
기본적으로 세션 쿠키는 브라우저가 종료되면 삭제되는 쿠키를 의미하고, 세션 ID를 저장하고 있는 쿠키를 세션 쿠키라고도 부른다. 만약 브라우저를 닫고 다시 열었을 때에도 로그인 상태를 유지하고 싶으면 영속 쿠키에 세션 ID를 저장해야 할 것이고, 아니라면 세션 쿠키에 세션 ID를 담으면 된다.

[출처]
1. https://velog.io/@namezin/Cookie
2. https://interconnection.tistory.com/74
3. https://dev-coco.tistory.com/61
4. https://velog.io/@9rganizedchaos/%EC%BF%A0%ED%82%A4-%EC%BF%A0%ED%82%A4-%EC%BF%A0%ED%82%A4
5. https://meetup.toast.com/posts/172
6. https://bentist.tistory.com/86

profile
이건주
공부일기
이전 포스트

JESSIONID란?

0개의 댓글