Cookie 와 Cookie options (Set-Cookie)

📌  Cookie ?

 

서버에서 클라이언트에 data 를 저장할 수 있는 방법 중 하나로, 작은 크기의 문자열을 말한다.

서버에서 클라이언트에 cookie 를 전송할 수도 있고,

클라이언트에서 서버로 cookie 를 전송할 수도 있다.

 

->  cookie 를 이용해 데이터를 저장하고, 원할 때 불러와 다시 사용할 수 있다.

 

◾  Cookie 형식

 

<cookie_name>=<cookie_value>

 

쿠키는 name=value 쌍으로 정보를 저장한다.

 

 

📌  Cookie Options ?

 

서버가 클라이언트에 cookie 로 데이터를 저장하는 건 맘대로 할 수 있지만

역으로 클라이언트에서 서버로 다시 불러오는 건, 지정된 조건을 만족할 때만 가능하다.

cookie에 데이터를 저장하면서 원하는 조건을 지정해줄 수 있다 ( 조건 설정은 option임 ).

 

 

✔  Expires=<date>

 

유효 일자 option.

expires option 이 지정되어 있지 않으면 브라우저가 닫힐 때 cookie 가 삭제된다. (Default) 

 

: Expires=Sun, 21 July 2030 02:35:10 GMT

 

expires option 을 설정하면 브라우저를 닫아도 쿠키가 삭제되지 않는다.

( 물론 유효 일자를 아주 짧게 설정하면 브라우저가 닫히기 전에도 cookie는 삭제된다. )

 

// cookie의 유효 일자는 반드시 GMT(Greenwich Mean Time) 포맷으로 설정해야 한다.
// date.toUTCString 을 사용하면 GMT포맷으로 쉽게 변경할 수 있다.

// 유효 기간이 하루인 cookie 설정
let date = new Date(Date.now() + 86400e3);
date = date.toUTCString();

document.cookie = 'user=Peter; expires=' + date;

 

 

✔  Max-Age=<number>

 

만료 기간 option.

max-age option 이 지정되어 있지 않으면 브라우저가 닫힐 때 cookie 가 삭제된다. (Default) 

 

: Max-Age=3600

 

max-age option 은 expires option 대신 cookie 만료 기간을 초 단위로 설정할 수 있다.

cookie 에 둘 다 지정되었을 때, expires 보다 max-age 가 우선시된다.

( 0 이나 음수값을 설정하면 cookie 는 바로 삭제된다. )

 

// 1시간 뒤에 cookie 삭제
document.cookie = 'user=Peter; max-age=3600';

// cookie 바로 삭제
document.cookie = 'user=Peter; max-age=0';

 

 

✔  Domain=<domain-value>

 

cookie 에 접근이 가능한 도메인을 지정하는 option.

domain option 이 지정되어 있지 않으면 현재 문서의 URI 만 cookie 에 접근할 수 있다.

->  이렇게되면 현재 URI의 형제 URI 격인 서브 도메인은 cookie 에 접근할 수 없게 된다.

->  ex. site.com(메인 도메인) : cookie 접근 O  /  kind.site.com(서브 도메인) : cookie 접근 X

 

: Domain=site.com

: Domain=.site.com

 

domain option 을 설정하게 되면 설정한 도메인은 물론이고 서브 도메인까지 cookie 에 접근할 수 있게 된다.

 

// site.com 에서 cookie 설정
// kind.site.com에서는 cookie에 접근할 수 없음
document.cookie = 'user=Peter';

// site.com 에서 cookie 설정
// kind.site.com에서도 cookie에 접근할 수 있음
document.cookie = 'user=Peter; domain=site.com';

 

 

✔  Path=<path-value>

 

cookie 에 접근이 가능한 URL path 를 지정하는 option.

path option 이 지정되어있지 않으면 현재 경로가 설정되고 현재 문서의 URI 만 cookie 에 접근할 수 있다.

 

: Path=/mypath

 

path option 을 설정하게 되면 이 경로나 하위 경로에 있는 페이지만 cookie 에 접근할 수 있다.

->  path=/mypath 옵션을 cookie 에 설정하면 /mypath 나 /mypath/something 은 cookie 에 접근할 수 있지만

->  /home 이나 /mypage 에서는 cookie에 접근할 수 없다 !

 

// 특별한 경우가 아니면 웹 사이트의 모든 페이지에서 쿠키에 접근할 수 있도록 한다.
document.cookie = 'user=Peter; path=/'

 

 

✔  Secure

 

HTTP로 통신하는 경우에 cookie 접근 여부를 결정하는 option.

기본적으로 cookie 는 도메인만 확인한다. 프로토콜은 따지지 않는다.

secure option 이 지정되어 있지 않으면 HTTP, HTTPS 프로토콜 모두 양방으로 cookie 에 접근할 수 있다.

 

: Secure

 

secure option 을 설정하게 되면 HTTPS 에서 설정된 cookie 는 HTTP 에서 접근하지 못한다.

HTTPS 로 통신하는 경우에만 cookie 접근 허용하고 싶을 때 secure option 을 설정하면 된다.

 

// 보안 강화 !
document.cookie = 'user=Peter; secure';

 

 

✔  HttpOnly

 

클라이언트 측에서 Script 문서가 cookie 를 사용하지 못하게 하는 option. ( set-cookie 속성으로 넣어주면 ok )

자바스크립트와 같은 스크립트 언어가 document.cookie 를 통해 쿠키를 읽거나 조작할 수 없게 차단한다.

해커가 악성 자바스크립트 코드를 페이지에 삽입했을 때 발생할 수 있는 보안 이슈 ( XSS )를 막기 위해 사용한다.

 

: HttpOnly

 

보통 cookie 설정할 때 이 옵션은 꼭 넣어준다. ( 특별한 경우가 아니고서야 !! )

 

 

📍  XSS 공격

 

2021.11.24 - [the others/Network Security] - Cross-Site Scripting ( XSS ) 공격

Cross-Site Scripting ( XSS ) 공격

 

 

✔  SameSite