Http Only
클라이언트에서 자바스크립트로 쿠키를 조회하는 것을 막는 옵션
- 브라우저에서 HTTP Only가 설정된 쿠키를 조회할 수 없다.
- 서버로 HTTP Request 요청을 보낼 때만 쿠키를 전송한다.
- XSS(Cross Site Scripting) 공격을 차단할 수 있다.
Secure
웹브라우저와 웹서버가 HTTPS로 통신하는 경우에만 웹브라우저가 쿠키를 서버로 전송하는 옵션
- 네트워크 통신 과정을 통한 쿠키 탈취를 방지할 수 있다.
- HTTPS 프로토콜을 사용해 쿠키(데이터)를 암호화하고 전송한다.
- HTTPS 통신 외에는 쿠키를 전달하지 않기에, HTTP 통신이 뚫려도 쿠키를 보호할 수 있다.
기록만이 살 길 ... 말하는 감자애오