반응형
Jake Seo
제이크서 위키 블로그
Jake Seo
전체 방문자
오늘
어제
  • 분류 전체보기 (715)
    • 일상, 일기 (0)
    • 백준 문제풀이 (1)
    • 릿코드 문제풀이 (2)
    • 알고리즘 이론 (10)
      • 기본 이론 (2)
      • 배열과 문자열 (8)
    • 데이터베이스 (15)
      • Planet Scale (1)
      • MSSQL (9)
      • 디비 기본 개념 (1)
      • SQLite 직접 만들어보기 (4)
    • 보안 (7)
    • 설계 (1)
    • 네트워크 (17)
      • HTTP (9)
      • OSI Layers (5)
    • 회고 (31)
      • 연간 회고 (2)
      • 주간 회고 (29)
    • 인프라 (52)
      • 도커 (12)
      • AWS (9)
      • 용어 (21)
      • 웹 성능 (1)
      • 대규모 서비스를 지탱하는 기술 (9)
    • 깃 (7)
    • 빌드 도구 (7)
      • 메이븐 (6)
      • 그레이들 (0)
    • Java (135)
      • 이펙티브 자바 (73)
      • 자바 API (4)
      • 자바 잡지식 (30)
      • 자바 디자인 패턴 (21)
      • 톰캣 (Tomcat) (7)
    • 프레임워크 (64)
      • next.js (14)
      • 스프링 프레임워크 (28)
      • 토비의 스프링 (6)
      • 스프링 부트 (3)
      • JPA (Java Persistence API) (5)
      • Nest.js (8)
    • 프론트엔드 (48)
      • 다크모드 (1)
      • 노드 패키지 관리 매니저 (3)
      • CSS (19)
      • Web API (11)
      • tailwind-css (1)
      • React (5)
      • React 새 공식문서 요약 (1)
      • HTML (Markup Language) (5)
    • 자바스크립트 (108)
      • 모던 자바스크립트 (31)
      • 개념 (31)
      • 정규표현식 (5)
      • 코드 스니펫 (1)
      • 라이브러리 (6)
      • 인터뷰 (24)
      • 웹개발자를 위한 자바스크립트의 모든 것 (6)
      • 팁 (2)
    • Typescript (49)
    • 리눅스와 유닉스 (10)
    • Computer Science (1)
      • Compiler (1)
    • IDE (3)
      • VSCODE (1)
      • IntelliJ (2)
    • 세미나 & 컨퍼런스 (1)
    • 용어 (개발용어) (16)
      • 함수형 프로그래밍 용어들 (1)
    • ORM (2)
      • Prisma (2)
    • NODEJS (2)
    • cypress (1)
    • 리액트 네이티브 (React Native) (31)
    • 러스트 (Rust) (15)
    • 코틀린 (Kotlin) (4)
      • 자바에서 코틀린으로 (4)
    • 정규표현식 (3)
    • 구글 애널리틱스 (GA) (1)
    • SEO (2)
    • UML (2)
    • 맛탐험 (2)
    • 리팩토링 (1)
    • 서평 (2)
    • 소프트웨어 공학 (18)
      • 테스팅 (16)
      • 개발 프로세스 (1)
    • 교육학 (1)
    • 삶의 지혜, 통찰 (1)
    • Chat GPT (2)
    • 쉘스크립트 (1)
    • 컴파일 (2)
    • Dart (12)
    • 코드팩토리의 플러터 프로그래밍 (4)
    • 플러터 (17)
    • 안드로이드 스튜디오 (1)
    • 윈도우즈 (1)
    • 잡다한 백엔드 지식 (1)
    • 디자인 패턴 (1)

블로그 메뉴

  • 홈
  • 태그
  • 방명록

공지사항

인기 글

태그

  • 디자인패턴
  • 이펙티브 자바
  • try-with-resources
  • 스프링 검증
  • 싱글톤
  • 자바스크립트 면접
  • 자료구조
  • 작업기억공간
  • 토비의 스프링
  • 빈 검증
  • 알고리즘
  • 외래키 제약조건
  • MSSQL
  • 추상 팩터리 패턴
  • prerendering
  • 플라이웨이트패턴
  • 이펙티브자바
  • 자바 디자인패턴
  • Pre-rendering
  • bean Validation
  • Java
  • 메이븐 페이즈
  • rust
  • 메이븐 라이프사이클
  • Javadoc 자바독 자바주석 주석 Comment
  • 자바
  • 서버리스 컴퓨팅
  • pnpm
  • item8
  • 싱글턴
  • 메이븐 골
  • item7
  • 팩터리 메서드 패턴
  • Next.js
  • 러스트
  • 도커공식문서
  • 자바 검증
  • 객체복사
  • 슬로우 쿼리
  • 자바스크립트
  • serverless computing
  • 참조 해제
  • NEXT JS
  • next js app
  • 자바스크립트 인터뷰
  • 느린 쿼리
  • 싱글톤 패턴
  • 이펙티브 자바 item9
  • item9
  • 프로그래머의 뇌

최근 댓글

최근 글

티스토리

hELLO · Designed By 정상우.
Jake Seo

제이크서 위키 블로그

네트워크/HTTP

HTTP 쿠키 (HTTP Cookie) 의 생성 옵션

2023. 1. 27. 22:42

쿠키 생성 옵션

  • 쿠키는 생성할 때 몇가지 옵션을 줄 수 있다.

HTTP 헤더에 들어간 쿠키 옵션 예제

Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>
Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date>
Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly
Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<number>
Set-Cookie: <cookie-name>=<cookie-value>; Partitioned
Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value>
Set-Cookie: <cookie-name>=<cookie-value>; Secure

Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict
Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax
Set-Cookie: <cookie-name>=<cookie-value>; SameSite=None; Secure

// Multiple attributes are also possible, for example:
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly
  • Set-Cookie 헤더의 쿠키값 설정 뒤에 ; 옵션1=xx; 옵션2=yy 형태로 적용이 가능하다.

각 옵션별 설명

  • 값을 갖는 옵션도 있고, 값을 갖지 않는 옵션도 있다.
  • 모든 옵션은 Optional 이다.
    • 그러나 설정하지 않는다고 값을 가지지 않는 것은 아니고, 브라우저 정책에 따른 기본 값이 들어가게 된다.

Domain=<domain-value>(Optional)

  • 어떤 도메인에 요청을 보낼 때, 이 쿠키를 함께 사용할 것인지 명시한다.
  • 단 하나의 도메인만 적어야 하며 여러 도메인을 적는 것은 불가능하다.
  • 생략한다면, 정확한 도메인에서만 쿠키를 사용하고, 서브 도메인에서는 쿠키를 공유하지 않는다.
    • cafe.naver.com 에서 생성한 쿠키를 서브도메인과 공유하고 싶다면 naver.com 과 같이 도메인을 적어주면 된다.
    • 과거의 브라우저에서는 .naver.com 과 같이 적어야 했지만, RFC 6265 section 4.1.2.3 을 확인해보면 현대 브라우저에서는 맨 앞의 점이 없어도 무방하다고 나온다.
      • 참고 링크

Expires=<date>(Optional)

  • 쿠키가 언제까지 유효한지 명시한다.
  • HTTP-date timestamp 형식에 맞추어야 한다.
    • 자바스크립트 Date 객체에서 toUTCString() 메서드를 쓴 결과를 이용하면 쉽다.
    • new Date().toUTCString() -> 'Fri, 27 Jan 2023 10:52:47 GMT'
  • 생략한다면, 세션이 만료될 때 쿠키도 함께 만료된다.
    • 현대 브라우저는 모든 창을 껐다가 다시 켜도 세션을 복구하는 기능이 있어서, 브라우저 창을 끈다고해도 세션이 만료되지 않을 수 있다.
  • 쿠키의 만료일자는 클라이언트와 관련 있으며, 서버와는 관련 없다.
    • 서버는 보통 쿠키로 준 세션 값 등을 디비에 저장하다 일정 시간이 지나거나 조건이 충족되면 만료시킬 뿐이다.

HttpOnly(Optional)

  • Document.cookie 를 통해 자바스크립트로 쿠키에 접근하는 것을 막는다.
  • HttpOnly 로 만든 쿠키도 여전히 XMLHttpRequest.send() 혹은 fetch() 를 호출할 때, 자바스크립트 요청과 함께 전송된다. 이는 XSS 공격을 완화하는데 도움이 된다.

Max-Age=<number>(Optional)

  • 초로 쿠키의 유효기간을 나타낼 때 쓴다. Expire 와 동일한 역할인데, Expire 와 함께 쓰면, Max-Age 가 적용된다.

Partitioned(Optional)

  • 최근 추가된 실험적 기능으로 쿠키가 분리된 저장소(Partitioned storage)에 저장되어야 함을 나타낸다.
  • 최근 쿠키를 통한 개인정보 침해 우려가 있어 새로 나온 기능인 것 같다.
  • CHIPS

Path=<path-value>(Optional)

  • 사이트의 특정한 경로에만 쿠키를 적용하고 싶을 때 쓴다.
  • /docs 라는 경로를 입력하면, /docs/abc 와 같은 하위 경로에도 적용된다.

SameSite=<samesite-value>(Optional)

  • 쿠키를 도메인이 다른 사이트와 통신하는데도 적용할지 설정한다.
  • CSRF 공격 에 대한 방어가 어느정도 된다.
    • 적어도 타 도메인에서 유해한 URL 로 유도 시에는 브라우저에 저장된 쿠키를 사용하지 않기 때문이다.
  • <same-sitevalue> 자리에 들어갈 수 있는 값은 아래와 같다.
    • Strict: 같은 주소의 요청에만 쿠키를 보낸다.
    • Lax: 안전한 HTTP 메서드 (GET) 정도만 예외를 두고 Strict 와 동일하게 처리된다.
      • 외부 사이트에서 링크를 타고 들어오는 경우가 Lax 에서 해당하는 예외라고 볼 수 있다.
      • <same-sitevalue> 를 생략한 경우 Lax 가 기본 값이 된다.
    • None: cross-site 와 same-site 구분하지 않고, 무조건 쿠키를 같이 보낸다.
      • 단, Secure 속성이 반드시 같이 있어야 한다.
      • https 를 통하지 않은 SameSite=None 쿠키는 해커에 의해 원본 값이 탈취될 수 있다.

Secure(Optional)

  • https: 스키마를 통한 통신 요청에만 쿠키를 같이 보낸다.
    • 단, localhost 도메인은 예외이다. (아마 개발자를 위한 배려일 것이다.)

보안을 위한 쿠키 옵션 권장사항

  • 보안을 위해 Secure 와 HttpOnly 는 항시 적용하는 것이 좋다.
    • HttpOnly 를 적용하지 않으면, 자바스크립트를 통해 쿠키가 탈취당한다.
    • Secure 를 적용하지 않으면, Man in the middle 공격을 통해 쿠키가 탈취당한다.
  • 쿠키는 언제든 엔드 유저에게 보여지며 변경될 수 있는 값이란 것을 명심해야 한다.
    • 중요한 정보를 저장하려면, JWT 같은 메커니즘을 이용하는 것이 도움이 된다.
  • 인증 정보와 같은 중요한 쿠키엔 반드시 life time 을 명시하는 것이 좋으며, SameSite 속성도 Strict 혹은 Lax 로 설정해두는 것이 좋다.

레퍼런스

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

반응형
저작자표시 비영리 (새창열림)

'네트워크 > HTTP' 카테고리의 다른 글

HTTP 요청 메세지의 구조  (0) 2023.04.15
HTTP Content-Type 헤더란?  (0) 2023.04.14
HTTP MIME type 이란?  (0) 2023.04.14
HTTP 쿠키 (HTTP Cookie) 란?  (0) 2023.01.27
400 Bad Request, 401 Unauthorized, 403 Forbidden 상태코드 구분하기  (0) 2022.06.21
    '네트워크/HTTP' 카테고리의 다른 글
    • HTTP Content-Type 헤더란?
    • HTTP MIME type 이란?
    • HTTP 쿠키 (HTTP Cookie) 란?
    • 400 Bad Request, 401 Unauthorized, 403 Forbidden 상태코드 구분하기
    Jake Seo
    Jake Seo
    ✔ 잘 보셨다면 광고 한번 클릭해주시면 큰 힘이 됩니다. ✔ 댓글로 틀린 부분을 지적해주시면 기분 나빠하지 않고 수정합니다. ✔ 많은 퇴고를 거친 글이 좋은 글이 된다고 생각합니다. ✔ 간결하고 명료하게 사람들을 이해 시키는 것을 목표로 합니다.

    티스토리툴바