[ 네트워크 ] cookie는 왜 사용하는걸까?

쿠키는 왜 사용하는걸까?

서버 입장에서 어떤 요청이 왔을때 로그인한 유저인지 아닌지 알 수 없다. 왜냐하면 HTTP는 무상태(Stateless) 프로토콜이기 때문이다.

Stateless

• HTTP는 무상태 프로토콜이다.
• 클라이언트와 서버가 요청와 응답을 주고 받으면 연결이 끊어진다.
• 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.
• 클라이언트와 서버는 서로 상태를 유지하지 않는다.

그렇다면 로그인 한 유저가 모든 요청에 자신의 정보를 포함해서 서버에 http 요청을 보낸다면?

• 모든 요청에 사용자 정보가 포함되도록 개발 해야함 - 개발하는 것이 힘들어짐

상태를 모르는 문제를 해결하기 위해서 쿠키를 도입함

1) 로그인시

• 클라이언트가 보내는 로그인 정보를 서버에서는 받음
• 서버는 쿠키에 유저 정보를 담은 후 응답에 쿠키를 보냄

2) 로그인 이후

• 웹브라우져는 자동으로 쿠키를 뒤진 후 쿠키에 있는 값을 무조건 보낸다.
• 브라우져는 모든 요청에 쿠키를 담아서 서버에 보낸다.
• 그러나 모든 요청에 쿠키를 담아서 보내는 것은 보안에 문제가 있으므로 제약하는 방법이 있다.

쿠키

• 사용처
  • 사용자 로그인 세션 관리
  • 광고 정보 트래킹
• 쿠키 정보는 항상 서버에 전송됨
  • 네트워크 트래픽 추가 유발 -> 따라서 최소한의 정보만 사용해야함(세션 id,인증 토큰)
  • 매번 서버에 전송하지 않고, 웹 브라우저 내부에서 데이터를 저장하고 상황에 맞춰서 쿠키를 보내고 싶다면 웹 스토리지(localStorage,sessionStrorage)를 쓰면 된다.
• 주의 : 보안에 민감한 데이터는 저장하면 안된다.(주민번호,신용카드 번호 등등)

쿠키 - 생명 주기

Expires,max-age

쿠키를 무제한 보관할 수 없다.

• Set-Cookie : expires=날짜
  • 만료일이 되면 쿠키 삭제함
• Set-Cookie : max-age=36000(3600초)
  • 0이나 음수를 지정하면 쿠키를 삭제
• 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료시까지만 유지
• 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지

쿠키 - 도메인

내가 지정한 쿠키가 아무 사이트 들어갈때마다 막 생기면 큰일난다.

ex) domain=example.org

• 명시 : 명시한 문서 기준 도메인 + 서브 도메인 포함
  • example.org는 물론이고 dev.example.org도 쿠키 접근
• 생략 : 현재 문서 기준 도메인만 적용
  • example.org에서만 쿠키 접근 가능하며 dev.example.org는 쿠키 접근이 불가능하다. 즉 해당 요청이 발생한 도메인에만 접근이 가능하고 다른 도메인에서는 쿠키를 읽을 수 없다.

쿠키 - 경로

이 경로를 포함한 하위 경로 페이지만 쿠키 접근이 가능하다.
일반적으로 path=/ 루트로 지정한다.
ex) path=/home 지정시

• /home 가능
• /home/level1 가능
• /hello 불가능

쿠키 - 보안

Secure,HttpOnly,SameSite

• Secure : 쿠키는 http,https를 구분하지 않고 전송한다 그러나 Secure를 적용하면 https인 경우에만 전송
• HttpOnly : XSS 공격 방지이며 자바스크립트에서 쿠키에 접근할 수 있으나 이 설정을 해놓으면 쿠키에 접근할 수 없게 만든다. HTTP 전송에서만 사용 가능하다.
• SameSite : 요청 도메인과 쿠키에 설정된 도메인이 같은 경우에만 서버에서 쿠키를 전송한다. 브라우져에서 적용 가능한지 확인하고 써야한다.