쿠키
- 예)
set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT;
path=/; domain=.google.com; Secure
- 사용처
- 사용자 로그인 세션 관리
- 광고 정보 트래킹
- 쿠키 정보는 항상 서버에 전송됨
- 네트워크 트래픽 추가 모집
- 최소한의 정보만 사용(세션 id, 인증 토큰)
- 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지(localStorage, sessionStorage)
참고
- 주의!
- 보안에 민감한 데이터는 저장하면 안됨(주민번호, 신용카드 번호 등등)
쿠키 - 생명주기 Expires, max-age
- Set-Cookie: expires = Sat, 26-Dec-2020 04:39:21 GMT
- 만료일이 되면 쿠키 삭제
- Set-Cookie: max-age=3600(3600초)
- 0이나 음수를 지정하면 쿠키 삭제
- 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시까지만 유지
- 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지
expires 날짜는 GMT 기준으로 넣어주셔야합니다. 그리고 만료일이 되면 쿠키가 자동으로 삭제가 됩니다
max-age는 초단위로 지정이 가능하고 0이나 음수를 지정하면 쿠키가 삭제가 됩니다.
쿠키 - 도메인(domain)
- 예) domain=example.org
- 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함
- domain=example.org는 몰론이고
- dev.example.org도 쿠키 접근
- 생략: 문서 기준 도메인만 적용
- example.org에서 쿠키를 생성하고 domain 지정을 생략
- example.org에서만 쿠키 접근
- dev.example.org는 쿠키 미접근
생각해보면 내가 지정한 쿠키가 아무 사이트에 들어갈 때마다 막 생기면 되게 큰일나겠죠. 그래서 쿠키는 도메인을 지정할 수 있고요. 그리고 지정하는 것에 두가지 방법이 있습니다. 도메인을 명시를하게 되면, 명시한 문저 기준 도메인에 서브 도메인을 포함해서 다 전송을해줍니다. 예를 들어서 제가 domain=example.org를 지정해서 쿠키를 생성하면 example.org는 몰론이고 dev.example.org에도 쿠키가 접근하게 됩니다.
그런데 이 도메인 지정을 생략하게 되면 이 example.org에서만 쿠키를 접근하게 되고 그 하위 도메인인 dev.example.org에서는 쿠키를 접근할 수 없게됩니다.
쿠키 - 경로(Path)
- 예) path=/home
- 이 경로를 포함한 하위 경로 페이지만 쿠키 접근
- 일반적으로 path=/ 루트로 지정
- 예)
- path =/home 지정
- /home -> 가능
- /home/level1 -> 가능
- /home/level1/level2 -> 가능
- /hello -> 불가능
쿠키-보안 Secure, HttpOnly, SameSite
- Secure
- 쿠키는 http, https를 구분하지 않고 전송
- Secure를 적용하면 https인 경우에만 전송
- HttpOnly
- XSS 공격 방지
- 자바스크립트에서 접근 불가(document.cookie)
- HTTP 전송에만 사용
- SameSite
- XRSF 공격 방지
- 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송
'HTTP 웹 지식' 카테고리의 다른 글
| HTTP 헤더2 - 캐시와 조건부 요청(캐시 무효화) (0) | 2022.01.28 |
|---|---|
| HTTP 헤더2 - 캐시와 조건부 요청 헤더 (0) | 2022.01.28 |
| HTTP 헤더2 - 캐시와 조건부 요청(프록시 캐시) (0) | 2022.01.24 |
| HTTP 헤더2 - 캐시와 조건부 요청(검증 헤더와 조건부 요청2) (0) | 2022.01.24 |
| HTTP 헤더2 - 캐시와 조건부 요청(검증 헤더와 조건부 요청1) (0) | 2022.01.24 |