HTTP 쿠키 (HTTP Cookie) 란?

HTTP 쿠키란?

HTTP 쿠키를 이해하기 전에 HTTP 공부가 선행된다. HTTP 통신 프로토콜을 모르면 쿠키만 공부해봐야 반쪽짜리 지식이다.

• HTTP 프로토콜은 기본적으로 무상태 (stateless) 프로토콜이다.
  • 무상태란 통신 중에 아무것도 저장하지 않는 것을 말한다. 아무것도 저장하지 않기에 통신이 끝나면 아무것도 기억하지 못한다.
• HTTP 프로토콜이 무언가를 기억할 수 있게 하는 1가지 방법이 있는데, 이를 '쿠키'라 한다.
  • 쿠키는 인터넷 통신의 매개체인 '브라우저'가 기억한다.
  • 브라우저는 쿠키를 저장해두었다가 매 HTTP 요청마다 저장소에 있는 쿠키를 함께 보낸다.

사실, 무상태라는 것은 큰 장점이다. 상태가 없다면, 같은 것을 물어봤을 때 매번 똑같이 응답한다. 어려운 말로 멱등하다고 한다. 똑같이 응답한다면, 한번 응답했던 것을 기억해두었다가 물어볼 때마다 재활용하면 된다. 이를 '캐싱' 이라고 한다.

쿠키의 주 쓰임새

• 로그인 등의 정보를 기억한다.
• 유저의 설정값 등을 기억한다.
• 유저의 행위를 기록하고 추적한다.

쿠키의 특징

쿠키의 특징을 알아보자.

특징 1: '매 네트워크 요청마다' 전달된다.

• 처음 정의에서 설명했듯, 쿠키는 '매 네트워크 요청마다' 함께 전달되는 데이터이다.
• 최대한 크기를 작게 유지해야 매번 전송해도 네트워크에 부담이 없을 것이다.
• 인증정보와 같은 간단한 데이터만 저장하는 것이 좋다.
• 브라우저마다 다르지만, 보통 최대 4096 byte 정도까지 저장할 수 있다.
• 큰 데이터는 보통 DB 나 외부 저장소에 저장해야 한다.
• 굳이 브라우저에 저장하고 싶다면, Web Storage API 와 IndexedDB 가 있긴 하다.

특징 2: 유효기간이 존재한다.

• 쿠키는 무한히 유지되지 않는다.
• 브라우저에서는 유효기간을 두고 쿠키를 사용한다.
• 당연히 유효기간이 끝나면 쿠키는 제거된다.

특징 3: 도메인마다 다른 쿠키 저장소를 사용한다.

• naver.com 에서 쿠키를 생성했다면, 이 쿠키는 daum.net 에서는 동작하지 않는다.
• 단, blog.naver.com 에서 쿠키를 생성했다면, cafe.naver.com 에서 쿠키를 공유하여 사용할 수 있다.
  • 주의할 점은 비슷해보이지만, abc.github.io 에서 쿠키를 생성했다면, bbc.github.io 에서 쿠키가 공유되지 않는다.
    • 그 이유는 무엇일까? 바로 TLD 와 SLD 에 있다. 이유는 여기 설명하면 너무 길기 때문에 생략하겠다.

특징 4: 키와 밸류로 구성된다.

• 쿠키는 Map 자료구조에 들어가는 데이터처럼 key, value 쌍으로 관리된다.
  • key, value 쌍으로 관리되는 데이터는 항상 내가 쓰려고 하는 key 가 이미 사용중인지 확인해봐야 한다는 것이다.
    • 이미 사용중인 key 에 value 를 새로 쓰면, 기존의 value 가 지워지고 덮어씌워진다.
    • key 네이밍 전, 누군가 쓰는지 확인 절차가 필요하다.

특징 5: 제한되는 특수문자가 존재한다.

• 쿠키에 특수문자 값을 잘못 넣으면 브라우저가 쿠키가 웹페이지를 제대로 못여는 현상이 일어날 수도 있다.
  • ( ) < > @ , ; : \ " / [ ] ? = { } 와 같은 문자가 해당된다.
  • HTTP 통신은 문자열을 기반으로 통신한다. HTTP 파서는 문자열을 파싱하며 의미를 구축하기에 어떤 문자가 들어오냐가 매우 중요하다.
  • 쿠키에 HTTP 통신에 사용되는 특수문자 기호를 잘못 넣으면 HTTP 통신 과정 자체가 이상해질 수 있다.
• 혹시라도 쿠키에 특수문자를 넣는다면 URL 인코딩 을 먼저 수행해주는 것이 안전하다.
  • 당연히 받아온 곳에서는 디코딩을 해서 보아야 한다.

쿠키를 생성하는 방법

• HTTP 요청 헤더에 Set-Cookie 를 추가하면 된다.

Set-Cookie: <cookie-name>=<cookie-value>

• HTTP 쿠키 생성 옵션 을 꼭 읽어야 한다. 생성 옵션을 통해 쿠키가 가지고 있는 모든 기능을 이용할 수 있기 때문이다.

쿠키 이름의 prefix 를 통한 보안 옵션 적용

• 쿠키의 이름 앞에 특정한 접두어를 붙이는 것으로 쿠키를 받아들이는데 제약조건을 걸 수 있다.
• 보안에 민감한 서비스의 토큰 값 등을 보관할 때 이 접두어를 붙인 쿠키를 사용하는 것이 유용할 수 있다.
• 브라우저에서 처리한다.
• 세션 수정 공격 을 예방하는데 도움이 된다.

__Host-

쿠키 이름 앞에 위 접두어가 붙는다면,

• Secure 속성이 있고, Domain 속성이 없으며, Path 속성이 / 로 설정된 쿠키만 받아들인다.
  • Domain 속성이 없다는 것은 서브 도메인을 허락하지 않는다는 뜻이다.
  • 이를 "domain-locked" 쿠키라고 할 수 있다.

__Secure-

쿠키 이름 앞에 위 접두어가 붙는다면,

• Secure 속성이 붙고 secure 한 오리진에서 온 쿠키만 받아들인다.
  • __Host- 보다 약한 속성이다.

써드 파티 쿠키 (Third party cookie)

• 같은 도메인 혹은 서브 도메인에서 오는 쿠키를 first-party cookie 라고 한다.
• 다른 도메인에서 오는 쿠키를 third-party cookie 라고 한다.
  • 이는 보통 타 사이트에서 정보수집을 위해 이용한다.
• 서버는 SameSite 속성을 통해 써드 파티 쿠키를 허용할지 설정할 수 있다.

쿠키 관련 법안

해외엔 쿠키에 관련된 법안도 존재한다.

• The General Data Privacy Regulation (GDPR) in the European Union
• The ePrivacy Directive in the EU
• The California Consumer Privacy Act

위의 규제들은 세계적인 영향력을 가지고 있다.

법규를 어기지 않기 위해서는 아래의 요구사항을 지키면 된다.

• 쿠키를 사용한다고 사용자에게 알림
• 사용자가 쿠키의 일부 또는 전체의 수신을 거부할 수 있게 해줌
• 사용자가 쿠키를 받지 않고 대부분의 서비스를 사용할 수 있게 해줌

쿠키론 저장소가 부족할 때

• Web Storage API
• window.sessionStorage
• window.localStorage
• IndexedDB API

레퍼런스

https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies