보통 서버에서 헤더에 set cookie헤서 클라에 주는게 일반적이다.
- secure
- https 로만 쿠키 주고받게 하는 옵션
- Chrome v89, Firefox v75 이상부터 localhost에서는 이거 무시
- 개발을 위해서임
- http도 가능해지는것
- httponly
- JS로 쿠키 못 얻음
- document.cookie 불가
- samesite
- 요청이 동일한 도메인 에서 시작된 경우만 쿠키가 애플리케이션으로 전송되도록 허용
쿠키의 시큐어 코딩
쿠키 - 세션으로 로그인 처리한다면 다음과 같은 시큐어 코딩 해야됨
- cookie에 세션ID 담을 때 이 세션 ID기반으로 클라의 개인정보 유추 불가하도록 해야함
- JS로는 파악할 수 없게 httponly 옵션 결고, https 로만 쿠키를 주고 받을 수 있게 secure도 해야됨
- 일정시간의 세션 타임아웃 걸야야됨