서버 배포 후 클라이언트의 로컬 환경에서 세션을 이용한 로그인 기능이 제대로 동작하지 않는 문제가 발생했다
확인해 보니, 서버에 세션 쿠키가 저장되지 않는 것 같았다
이 문제를 해결하기 위해 쿠키의 속성에 대해 더 자세히 알아보고 설정을 수정하게 되었다
Cookie
쿠키는 웹 애플리케이션에서 중요한 정보를 저장하고 전송할 때 사용되며, 이를 안전하게 다루기 위해 다양한 속성들을 설정할 수 있다
Secure
Secure 속성은 HTTPS 통신에서만 쿠키에 접근할 수 있도록 제한한다
이를 통해 악의적인 네트워크 공격(예: 중간자 공격)을 방지할 수 있다
(localhost 환경에서는 Secure 속성을 지정해도 HTTP로 통신이 가능하지만, 실제 배포 환경에서는 HTTPS를 사용해야한다)
SameSite
SameSite 속성은 크로스 사이트 요청에서 쿠키 전송을 제어하는 역할을 한다
이를 통해 사이트 외부에서 발생한 요청에 대한 쿠키 전송을 제한함으로써, CSRF(Cross-Site Request Forgery) 공격을 방지할 수 있다
Strict
Strict로 설정된 쿠키는 해당 도메인 내에서 발생한 요청(퍼스트 파티 쿠키)만 전송된다
즉, 외부에서 오는 모든 크로스 사이트 요청에서는 쿠키가 전송되지 않는다
예를 들어, 외부 링크나 다른 도메인에서의 접근을 통해 사용자가 사이트로 돌아올 때 쿠키가 전송되지 않는다
Lax
Lax 모드는 기본적으로 Strict와 비슷하지만, 일부 안전한 요청 (GET 메서드를 통한 외부 링크 클릭 등)에서는 쿠키 전송이 허용된다
예를 들어, 사용자가 다른 사이트에서 내 사이트로 링크를 클릭할 때는 쿠키가 전송된다
None
None으로 설정하면 동일 사이트와 크로스 사이트 모두에서 쿠키 전송이 가능하다
즉, 퍼스트 파티 쿠키와 서드 파티 쿠키가 모두 전송될 수 있어, CSRF 공격에 취약하다
크롬 80 버전 이후부터는 SameSite=None으로 설정된 쿠키는 반드시 Secure 속성과 함께 사용해야 하며, 그렇지 않으면 브라우저에서 쿠키를 차단한다
HttpOnly
HttpOnly 속성은 클라이언트의 자바스크립트로 쿠키에 접근할 수 없도록 막아준다
이를 통해 XSS(Cross-Site Scripting) 공격으로부터 쿠키 탈취를 방지할 수 있다
브라우저에서만 쿠키를 처리할 수 있도록 하여, 클라이언트 측 코드가 쿠키를 조작하지 못하게 하는 것이다
'Backend Basics > WebSecurity' 카테고리의 다른 글
| HTTP 뒤에 있는 숫자 뭐지?! (HTTP 상태코드) (1) | 2024.10.17 |
|---|---|
| 쿠키 토큰 세션 JWT 존맛탱? 뭐임 (0) | 2024.09.25 |
| credentials 옵션이 뭐임? (0) | 2024.09.14 |