Spring/모든 개발자를 위한 HTTP 웹 기본 지식

29. 쿠키

DEV-HJ 2023. 9. 3. 19:14
반응형

쿠키

  • Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답)
  • Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달
  • 쿠키를 사용할때 이 2개의 헤더를 사용함

서버입장에서 로그인한 사용자인지 구별할 방법이 없음.

Stateless

  • HTTP는 무상태(Stateless) 프로토콜이다.
  • 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다.
  • 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.
  • 클라이언트와 서버는 서로 상태를 유지하지 않는다.

사용자정보를 계속 서버에주면 서버는 그걸 받아서 하는방법이 있다.

하지만 이 방법은 심각한 문제가 있다.

모든 요청에 사용자 정보를 넣어야한다는것이다.

개발하기도 힘들고, 보안에도 안좋다. 개발자가 모든 요청에 사용자 정보를 포함하도록 추가해서 개발해야한다.

모든 요청에 정보를 넘기는 문제

  • 모든 요청에 사용자 정보가 포함되도록 개발 해야함
  • 브라우저를 완전히 종료하고 다시 열면?

위의 문제를 해결하기 위해 쿠키 도입

웹 브라우저 내부에는 쿠키 저장소가 있어서 사용자가 누구인지 여기에 저장해둔다.

서버가 응답해서 만든 Set-Cookie를 

로그인 이 후 웰컴 페이지에 들어가면 웹 브라우저는 요청을 보낼때마다 쿠키를 서버에 보낸다.

서버는 그럼 사용자정보를 쿠키를 열어보고 알 수 있다.

쿠키

  • 예) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure

 

  • 사용처
  • - 사용자 로그인 세션 관리
  • -  광고 정보 트래킹

 

  • 쿠키 정보는 항상 서버에 전송됨
  • -  네트워크 트래픽 추가 유발
  • -  최소한의 정보만 사용(세션 id, 인증 토큰)
  • -  서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 (localStorage, sessionStorage)참고

 

  • 주의!
  • 보안에 민감한 데이터는 저장하면 안됨(주민번호, 신용카드 번호 등등)

쿠키 - 생명주기

Expires, max-age

  • Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT
  • 만료일이 되면 쿠키 삭제

 

  • Set-Cookie: max-age=3600 (3600초)
  • 0이나 음수를 지정하면 쿠키 삭제

 

  • 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
  • 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지

쿠키 - 도메인

Domain

 

  • 예) domain=example.org
  • 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함
  • domain=example.org를 지정해서 쿠키 생성
  • - example.org는 물론이고
  • - dev.example.org도 쿠키 접근

 

  • 생략: 현재 문서 기준 도메인만 적용
  • example.org 에서 쿠키를 생성하고 domain 지정을 생략
  • - example.org 에서만 쿠키 접근
  • - dev.example.org는 쿠키 미접근

쿠키 - 경로

Path

 

  • 예) path=/home
  • 이 경로를 포함한 하위 경로 페이지만 쿠키 접근
  • 일반적으로 path=/ 루트로 지정
  • 예)
  • - path=/home 지정
  • /home -> 가능
  • /home/level1 -> 가능
  • /home/level1/level2 -> 가능
  • /hello -> 불가능 (path를 /home으로 지정했는데 레벨이 안맞는곳으로 가면 불가능)

쿠키 - 보안

Secure, HttpOnly, SameSite

 

  • Secure
  • - 쿠키는 http, https를 구분하지 않고 전송
  • Secure를 적용하면 https인 경우에만 전송

 

  • HttpOnly
  • XSS 공격 방지
  • 자바스크립트에서 접근 불가(document.cookie)
  • HTTP 전송에만 사용

 

  • SameSite
  • XSRF 공격 방지
  • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송
  • - 기능이 적용된지 몇년 안되서 사용시에는 브라우저에서 얼만큼 지원하는지 확인후 사용해야함

 

반응형
저작자표시 비영리 변경금지 (새창열림)

'Spring > 모든 개발자를 위한 HTTP 웹 기본 지식' 카테고리의 다른 글

31. 검증 헤더와 조건부 요청1 | Last-Modified, if-modified-since  (1) 2023.09.03
30. 캐시 기본동작  (0) 2023.09.03
28. 인증  (0) 2023.09.03
27. 특별한 정보  (0) 2023.09.03
26. 일반 정보  (0) 2023.09.03

'Spring/모든 개발자를 위한 HTTP 웹 기본 지식'의 다른글

  • 현재글29. 쿠키

관련글

댓글

티스토리툴바