쿠키

HTTP 는 무상태 프로토콜이기때문에 요청 응답 주고받으면 그 이후에 기억하지 못한다. 상태유지 x

모든 요청에 사용자 정보를 포함해서 보내면된다.

모든 요청에 사용자 정보를 다 포함해서 보내야하는 단점 있음

브라우저 껐다 키면 어떻게 ?

 

쿠키 개념이 도입된다.

서버에서 Set-Cooke: user=지니 정보를 말아서 웹브라우저 쿠키 저장소에 저장을 한다.

로그인 이후에 다음 페이지 접속할때 쿠키를 뒤져서 무조건 header를 만들어서 보내준다.

 

!! 쿠키정보를 자동으로 포함한다.

But! 보안문제가 있을 수 있음

생명주기 설정

영속쿠키(지정된 날짜) 세션쿠키 (브라우저 종료시)

도메인

도메인 지정 가능

명시 : 명시한문서 기준 도메인 + 서브 도메인 포함

경로

경로를 포함한 하위 경로 페이지만 쿠키 접근

보안

secure

• 쿠키는 http, https 구분 x
• Secure를 적용하면 https인 경우만 전송

HttpOnly

• XSS공격 방지
• 자바스크립트에서 접근 불가 (document.cookie)
• HTTP 전송에만 사용

SameSite

• XSRF공격방지
• 요청 도메인과 쿠키에 설정된 도메인이 같은 경우에만 쿠키 전송