HTTP/HTTP 헤더

[HTTP] HTTP 쿠키

Boradoris 2023. 1. 21. 19:11

쿠키

  • Set-Cookie : 서버에서 클라이언트로 쿠키 전달 (응답)
  • Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청 시 서버로 전달

 

 

쿠키 미사용

처음 welcome 페이지 접근

 

로그인

 

로그인 이후 welcome 페이지 접근

 

 

Stateless

  • HTTP는 무상태(Stateless) 프로토콜이다.
  • 클라이언트와 서버가 요청과 응답을 주고받으면 연결이 끊어진다.
  • 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.
  • 클라이언트와 서버는 서로 상태를 유지하지 않는다.

 

https://lllskg1.tistory.com/17

 

[HTTP] Stateful, Stateless (상태, 무상태) (1)

무상태 프로토콜 스테이스리스 (Stateless) 서버가 클라이언트의 상태를 보존 X 장점 : 서버 확장성 높음 (스케일 아웃) 단점 : 클라이언트가 추가 데이터 전송 Stateful, Stateless의 차이 [상태 유지 - Sta

lllskg1.tistory.com

https://lllskg1.tistory.com/18

 

[HTTP] Stateful, Stateless (상태, 무상태) (2)

상태 유지 - Stateful 항상 같은 서버가 유지되어야 한다. 중간에 서버가 장애 나면? 무상태 - Stateless 아무 서버나 호출해도 된다. 중간에 서버가 장애나면? 스케일 아웃 - 수평 확장 유리 Stateless -

lllskg1.tistory.com

 

 

대안 - 모든 요청에 사용자 정보 포함?

 

 

 

모든 요청에 정보를 넘기는 문제

  • 모든 요청에 사용자 정보가 포함되도록 개발해야 함
  • 브라우저를 완전히 종료하고 다시 열면?

 

 

쿠기

로그인

 

로그인 이후 welcome 페이지 접근

 

모든 요청에 쿠키 정보 자동 포함

 

 

쿠키

  • 예) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec2020 00:00:00 GMT; path=/;
    domain=google.com;Secure
  • 사용처
    • 사용자 로그인 세션 관리
    • 광고 정보 트래킹
  • 쿠키 정보는 항상 서버에 전송됨
    • 네트워크 트래픽 추가 유발
    • 최소한의 정보만 사용 (세션 id, 인증 토큰)
    • 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지
      (localStorage, sessionStorage) 참고
  • 주의!
    • 보안에 민감한 데이터는 저장하면 안 됨 (주민번호, 신용카드 번호 등)

 

 

쿠키 - 생명주기

Expires, max-age

  • Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT
    • 만료일이 되면 쿠키 삭제
  • Set-Cookie: max-age=3600 (3600초)
    • 0이나 음수를 지정하면 쿠키 삭제
  • 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료 시까지만 유지
  • 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지

 

 

쿠키 - 도메인

Domain

  • 예) domain=example.org
  • 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함
    • domain=example.org를 지정해서 쿠키 생성
      • example.org는 물론이고
      • dev.example.org도 쿠키 접근
  • 생략: 현재 문서 기준 도메인만 적용
    • example.org에서 쿠키를 생성하고 domain 지정을 생략
      • example.org에서만 쿠키 접근
      • dev.example.org는 쿠키 미접근

 

 

쿠키 - 경로

Path

  • 예) path=/home
  • 이 경로를 포함한 하위 경로 페이지만 쿠키 접근
  • 일반적으로 path=/ 루트로 지정
    • path=/home 지정
    • /home -> 가능
    • /home/level1 -> 가능
    • /home/level1/level2 -> 가능
    • /hello -> 불가능

 

 

쿠키 - 보안

Secure, HttpOnly, SameSite

  • Secure
    • 쿠키는 http, https를 구분하지 않고 전송
    • Secure를 적용하면 https인 경우에만 전송
  • HttpOnly
    • XSS 공격 방지
    • 자바스크립트에서 접근 불가(document.cookie)
    • HTTP 전송에만 사용
  • SameSite
    • XSRF 공격 방지
    • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송

 

출처 : https://www.inflearn.com/course/http-%EC%9B%B9-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC

저작자표시 비영리 변경금지 (새창열림)