쿠키

"쿠키"라는 것이 없을 때의 문제점(쿠키 등장 배경)

Stateless

HTTP는 무상태 프로토콜이기 때문에 클라이언트와 서버가 요청과 응답을 주고 받고 나서 연결이 끊어진다. 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다. 클라이언트와 서버는 서로 상태를 유지하지 않는다.

=>한 번 로그인 성공한 후에 재접속 시에 로그인 정보를 기억하면 좋겠다!

모든 요청과 링크에 사용자 정보를 포함한다면? 보안상의 문제도 있고, 모든 요청에 사용자 정보가 다 포함되도록 개발해야한다.

쿠키를 이용한 로그인 방식🍪

• Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답) 서버에서 클라이언트에게 쿠키 구워준다!🍪

• Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

재방문 시, 쿠키저장소에서 쿠키를 무조건 찾아서 헤더에 쿠키를 담아 서버에 보낸다!

그렇다면 모든 요청에 쿠키 정보 자동 포함하면 모든 것이 해결되나? 아니다. 최소한의 정보만 사용한다!

보안상의 이유로 쿠키 매커니즘 개선

로그인 성공하면 서버에서 세션 키를 만들어서 서버의 DB에 저장해놓고, 세션 id를 클라이언트에 반환한다. 그러면 클라이언트는 서버에 요청할 때마다 세션 id를 보낸다. 서버는 세션 id가 있으면 사용자를 식별한다.

ex) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure

• 사용처 사용자 로그인 세션 관리 광고 정보 트래킹

• 쿠키 정보는 항상 서버에 전송됨 네트워크 트래픽 추가 유발 최소한의 정보만 사용(세션 id, 인증 토큰) 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 (localStorage, sessionStorage) 참고

• 주의! 보안에 민감한 데이터는 저장하면 안됨(주민번호, 신용카드 번호 등등)

• 쿠키 생명 주기 Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT (만료일 되면 쿠키 삭제) Set-Cookie: max-age=3600 (3600초) (0이나 음수 지정하면 쿠키 삭제) 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지

• 쿠키 도메인 명시: 명시한 문서 기준 도메인 + ⭐️서브 도메인 포함⭐️ ex) domain=example.org : domain=example.org를 지정해서 쿠키 생성 => example.org는 물론이고, dev.example.org도 쿠키 접근! 생략: 현재 문서 기준 도메인만 적용 ex) example.org : example.org에서 쿠키 생성하고, domain 지정 생략 => example.org에서만 쿠키 접근하고, dev.example.org는 쿠키 미접근!

• 쿠키 경로 ex) path=/home : 이 경로를 포함한 하위 경로 페이지만 쿠키 접근 /home 🆗 /home/level1🆗 /home/level1/level2 🆗 /hello ❌

• 쿠키 보안 - Secure 쿠키는 http, https를 구분하지 않고 전송 Secure를 적용하면 https인 경우에만 전송 - HttpOnly XSS 공격 방지 자바스크립트에서 접근 불가(document.cookie) HTTP 전송에만 사용 - SameSite XSRF 공격 방지

  요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송