SameSite

    쿠키와 Iframe 으로 인한 트러블 슈팅 회고

    원인 클라이언트사에 Iframe 에 embed 시킬 수 있는 전용 미니 웹페이지를 제공했다. 문제는 Iframe 에 embed 된 웹사이트에서 쿠키가 함께 사용되었다. 여기서 문제가 생겼다. 쿠키는 자신이 사용되어야 할 곳을 도메인 으로 구분한다. Iframe 은 aaa.co.kr 도메인 내의 페이지를 보여준다. Iframe 을 보여주는 웹페이지 자체는 bbb.co.kr 이었다. aaa.co.kr 에서 bbb.co.kr 의 쿠키를 받으니 쿠키는 매 응답마다 왔지만 바로 버려졌다. 브라우저 내부에서 Iframe 으로부터 전달받은 쿠키를 그대로 사용하면 보안상 이슈가 생긴다. 브라우저 초창기에는 Iframe 으로부터 전달받은 쿠키를 그냥 사용했으나, 점차 이를 악용하는 피싱 사이트들이 생겨났다. 마음만 먹으..

반응형