[ WEB ] Cookie에 대한 정리 글

 

Cookie 란?

 

HTTP쿠키(웹 쿠키 또는 브라우저 쿠키)는 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각으로, 브라우저는 해당 데이터 조각들을 저장해 놓았다가, 동일한 서버에 요청 시 저장된 데이터를 함께 전송한다.

 

쿠키는 두 요청이 동일한 브라우저에서 들어왔는지 아닌지를 판단할 때 주로 사용하며, 이를 사용하여 stateless인 HTTP 프로토콜에서 상태 정보를 기억하여 사용자의 로그인 상태를 유지할 수 있다.

 

 

쿠키는 Key=value 형태로 이루어져 있다.
타입은 String이고, 공간 제약이 있어서 4KB 이상 저장이 불가능하다.

 

 

Set-Cookie 는 서버에서 클라이언트(사용자 브라우저)로 쿠키를 전송하기 위해 사용한다. (응답)

Set-Cookie: <cookie-name>=<cookie-value>​

 

 

 

 

쿠키의 특징

 

- 쿠키는 유효기간이 있고, 서버가 정한 기간에 따라 유효하다. (기간을 정하지 않은 경우 브라우저 종료시 까지만 유지된다.)

 

- 쿠키는 인증뿐만 아니라, 다양한 목적으로 사용된다.
       1) 세션 관리 : 서버에 저장해야 할 로그인, 장바구니, 게임 스코어 등의 정보 관리.
       2) 개인화 : 사용자 선호, 테마 등의 세팅.
       3) 트래킹 : 사용자 행동을 기록하고 분석하는 용도.

 

* 과거엔 클라이언트 측에 정보를 저장할 때 쿠키를 주로 사용했지만, 요즘은 성능 이슈 등으로 클라이언트 측에 정보를 저장할 때 Modern APIs의 종류인 웹 스토리지 API 와 IndexedDB를 사용하면 된다.

 

- 세션 쿠키는 현재 세션이 끝날 때 삭제가 된다. 브라우저는 "현재 세션"이 끝나는 시점을 정의한다.

     어떤 브라우저들은 재시작할 때 세션을 복원해서 세션 쿠키가 무기한 존재할 수 있도록 한다.

- 지속 쿠키는 Expires 또는 Max-Age 라는 속성에 명시된 날짜에 삭제가 된다.

- 쿠키는 브라우저에만 있다. 👉  Native App에서 사용 불가.

- 도메인과 패스 디렉티브는 쿠키의 스코프를 정의한다.(어떤 URL로 쿠키를 보내야 하는지) 

 

** 보안에 민감한 데이터(주민번호, 신용카드 정보 등)는 쿠키에 저장하면 안되며 최소한의 정보만 사용하는 것을 추천.(세션id, 인증 토큰 등)

 

 

 

 

Secure, HttpOnly, SameSite

 

Secure 

쿠키는 http, https를 구분하지 않고 전송하기 때문에 Secure를 적용하면 HTTPS프로토콜 상에서 암호화된 경우에만 전송한다. 하지만 Secure일지라도 민감한 정보는 절대 쿠키에 저장하면 안된다.

 

 

HttpOnly 

자바스크립트에서 접근 불가(document.cookie)하도록 하여, XSS(Cross-site-scripting) 공격을 방지한다.

HTTP 전송에만 사용한다.

 

 

 

SameSite 

쿠키가 cross-site 요청 전송을 요구하게 만들어서 XSRF(사이트 간 요청 위조) 공격 방지, 요청 도메인과 쿠키에 설정된 도메인이 같은 경우에만 쿠키를 전송한다. 아직 실험 단계의 쿠키라서 모든 부라우저에서 사용할 수 있지 않다.

 

 

---

 

🌸 출처 🌸

 

Cookie- MDN

Set-Cookie - MDN

HTTP 쿠키 - MDN