Cookie란 무엇인가?
일단,
HTTP는 ststeless(무상태성)이다.
즉,
클라이언트가 서버에게 몇시에 만나자고 요청을 했지만
그 다음 요청에서 다시 언제 볼거냐고 물어보면 서버는 "뭐래?"라고 하는 것이다.
그렇다면,
우리가 로그인을 하고 그 이후 로그인이 유지되거나,
쇼핑몰에서 장바구니가 유지가되는 경우는 왜 그러는것이냐?
바로 "cookie" 덕분이다.
즉,
쿠키란 서버가 웹 브라우저에 정보를 저장하고, 불러올 수 있는 수단이다.
서버에서 클라이언트에 데이터를 저장하는 방법 중 하나인데,
서버가 쿠키를 저장해주고, 해당 도메인에 대해 쿠키가 존재하면,
웹 브라우저는 도메인에게 http 요청 시 쿠키를 함께 전달한다.
Cookie 전달 방법
Cookie Options
서버는 쿠키를 이용해 데이터를 저장하고 원할 때 이 데이터를 다시 불러와 사용할 수 있는데,
단, 데이터를 저장한 이후 아무때나 데이터를 가져올 순 없다.
데이터를 저장한 이후 특정 조건들이 만족하는 경우에만 다시 가져올 수 있다.
이러한 조건들을 쿠키 옵션으로 표현할 수 있다.
1. Domain
도메인이라는 것은 흔하게 볼 수 있는 www.google.com과 같은 서버에 접속할 수 있는 이름이다.
참고로 쿠키 옵션에서 도메인은 포트 및 서브 도메인 정보, 세부 경로를 포함하지 않는다.
쿠키 옵션에서 도메인 정보가 존재한다면,
클라이언트에서는 쿠키의 도메인 옵션과 서버의 도메인이 일치해야만 쿠키를 전송할 수 있다.
2. Path
세부 경로는 서버가 라우팅할 때 사용하는 경로이다.
만약 요청해야 하는 URL이 http://www.localhost.com:3000/users/login 인 경우라면,
여기에서 Path, 세부 경로는 /users/login이 된다.
Path 옵션의 특징은 설정된 path를 전부 만족하는 경우 요청하는 Path가 추가로 더 존재하더라도
쿠키를 서버에 전송할 수 있다.
즉 Path가 /users로 설정되어 있고,
요청하는 세부 경로가 /users/login 인 경우라면 쿠키 전송이 가능하다.
3. MaxAge or Expires
쿠키가 유효한 기간을 정하는 옵션이다.
MaxAge는 앞으로 몇 초 동안 쿠키가 유효한지 설정하는 옵션인데,
Expires 은 MaxAge와 비슷하다. 다만 언제까지 유효한지 Date를 지정한다.
이때 클라이언트의 시간을 기준으로 한다.
이후 지정된 시간, 날짜를 초과하게 되면 쿠키는 자동으로 파괴된다.
하지만 두 옵션이 모두 지정되지 않는 경우에는 브라우저의 탭을 닫아야만 쿠키가 제거될 수 있다.
4. Secure
쿠키를 전송해야 할 때 사용하는 프로토콜에 따른 쿠키 전송 여부를 결정한다.
만약 해당 옵션이 true로 설정된 경우,
'HTTPS' 프로토콜을 이용하여 통신하는 경우에만 쿠키를 전송할 수 있다.
5. HttpOnly
자바스크립트에서 브라우저의 쿠키에 접근 여부를 결정한다.
만약 해당 옵션이 true로 설정된 경우, 자바스크립트에서는 쿠키에 접근이 불가하다.
명시되지 않는 경우 기본으로 false로 지정되어 있고,
약 이 옵션이 false인 경우 자바스크립트에서 쿠키에 접근이 가능하므로 'XSS' 공격에 취약하다.
6. SameSite
Cross-Origin 요청을 받은 경우 요청에서 사용한 메소드와 해당 옵션의 조합으로 서버의 쿠키 전송 여부를 결정하게 된다.
ㆍ Lax :Cross-Origin 요청이면 'GET' 메소드에 대해서만 쿠키를 전송할 수 있다.
ㆍ Strict : Cross-Origin이 아닌 same-site 인 경우에만 쿠키를 전송 할 수 있다.
(이때 'same-site'는 요청을 보낸 Origin과 서버의 도메인이 같은 경우를 말한다)
ㆍ None: 항상 쿠키를 보내줄 수 있다. 다만 쿠키 옵션 중 Secure 옵션이 필요하다.
이러한 옵션들을 지정한 다음 서버에서 클라이언트로 쿠키를 처음 전송하게 된다면,
헤더에 Set-Cookie라는 프로퍼티에 쿠키를 담아 쿠키를 전송하게 된다.
이후 클라이언트 혹은 서버에서 쿠키를 전송해야 한다면 클라이언트는 헤더에 Cookie라는 프로퍼티에 쿠키를 담아 서버에 쿠키를 전송하게 된다.
