쿠키

쿠키

• Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답)
• Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

쿠키 로직

• 웹브라우저에서 로그인 요청을 해서 서버가 받아들이면 Set-Cookie를 통해 웹브라우저 내에 쿠키 저장소에 유저정보를 저장한다.
• 쿠키는 모든 요청에 쿠키 정보를 자동 포함한다.

쿠키 설명

• 예) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure
• 사용처
  • 사용자 로그인 세션 관리
  • 광고 정보 트래킹
• 쿠키 정보는 항상 서버에 전송
  • 네트워크 트래픽 추가 유발
  • 그래서 최소한의 정보만 사용(세션 id, 인증 토큰)
  • 서버에 전송하지 않고 웹브라우저 내부에 데이터 저장시 웹 스토리지 참고
  • 보안에 민감한 데이터는 저장 x

쿠키 생명주기

• expires
• max-age

쿠키 도메인

• 명시 : 명시한 문서 기준 도메인 + 서브 도메인
  • domain=example.org를 지정해서 쿠키 생성
  • example.org는 물론이고 dev.example.org도 쿠키 접근
• 생략 : 현재 문서 기준 도메인만 적용
  • example.org에서 쿠키 생성하고 domain 지정 생략하면 dev.example.org 쿠키 미접근

쿠키 경로

• 예) path=/home
• 이 경로를 포함한 하위 경로 페이지만 쿠키 접근
• 일반적으로 path=/ 루트로 지정
• 예)
  • path=/home 지정
  • /home -> 가능
  • /home/level1 -> 가능
  • /home/level1/level2 -> 가능
  • /hello -> 불가능

쿠키 보안

• Secure
  • 쿠키는 http, https를 구분하지 않고 전송
  • Secure를 적용하면 https인 경우에만 전송
• HttpOnly
  • XSS 공격 방지
  • 자바스크립트에서 접근 불가(document.cookie)
  • HTTP 전송에만 사용
• SameSite
  • XSRF 공격 방지
  • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송

 

https://dev-pengun.tistory.com/entry/Spring-Boot-CORS-%EC%84%A4%EC%A0%95%ED%95%98%EA%B8%B0