Cookie (쿠키)

Cookie란?

• 웹 서버가 생성하여 웹 브라우저(클라이언트)로 전송하는 작은 정보 파일
• Set-Cookie: 서버에서 클라이언트로 쿠키 전달 (응답 시)
• Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청 시 서버로 전달

---

Cookie가 필요한 이유

• HTTP는 무상태(Stateless) 프로토콜 (클라이언트와 서버는 서로 상태를 유지 X)
  • 클라이언트와 서버가 요청과 응답을 주고받으면 연결이 끊어진다.
  • 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못하는 문제 발생 
    • 로그인 시, 새로고침 할 때마다 매번 로그인을 해야 하는 번거로움 발생
• 대안: 모든 요청에 사용자 정보를 포함해서 요청
  • 보안 문제 발생 가능
  • 모든 요청에 사용자 정보 포함되도록 개발해야 하는 어려움
  • 브라우저를 완전히 종료하고 다시 실행할 경우 정보 소실 가능 (이를 위한 스토리지 개발 가능하지만 번거로움)

---

Cookie 동작

Cookie 정보 저장 (로그인 시)

---

---

로그인 이후 페이지 접근 (요청 시)

---

• 이후 모든 요청에 쿠키 정보 자동 포함
  
  • 보안 문제로 이렇게 항상 쿠키 정보를 포함하는 것을 제약하는 방법도 존재

---

---

쿠키 사용처

• 사용자 로그인 세션 관리
  • 로그인 시, 사용자 정보를 그대로 Set-Cookie에 내려보내는 것은 보안적으로 위험
  • 이를 위해, 서버에서 Session ID를 생성해 데이터베이스에 저장하고 , 이 정보를 클라이언트에게 전
• 광고 정보 트래킹

---

쿠키 단점

• 네트워크 트래픽 추가 유발 → 최소한의 정보만 사용하자 (세션 id, 인증 토큰 - OAuth)
  
  • 매번 서버에 전송하지 않고, 필요한 경우에만 전송하고 싶은 경우 (혹은 클라이언트 내부 로직에서만 사용하고 싶은 경우): 웹 스토리지 (localStorage, sessionStorage) 사용 (웹 브라우저 내부에 데이터를 저장)
• 주의!!: 보안에 민감한 데이터는 절대 저장 X 

---

쿠키 생명주기 (Expires, max-age)

• Set-Cookie: expires=Sat , 26-Dec-2020 04:39:21 GMT
  • 만료일이 되면 쿠키 삭제
• Set-Cookie: max-age=3600 (3600초)
  • 0이나 음수를 지정하면 쿠키 삭제
  • 유효기간이 지나면 쿠키 삭
• 쿠키 종류
  • 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료 시까지만 유지 
  • 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지

---

쿠키 도메인 (Domain)

• 내가 지정한 쿠키가 아무 사이트에서나 접근/생되면 안 되므로 도메인 지정 가능
• 2가지 방법
  • 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함
    • domain=example.org를 지정해서 쿠키 생성 → example.org는 물론이고, dev.example.org도 쿠키 접근 가능
  • 생략: 현재 문서 기준 도메인만 적용
    • example.org에서 쿠키를 생성하고 domain 지정을 생략 → example.org에서만 쿠키 접근 가능, dev.example.org는 쿠키 접근 불가

---

쿠키 경로 (Path)

•  path = /경로:  이 경로를 포함한 하위 경로 페이지만 쿠키 접근 가능
• 일반적으로 'path=/ 루트'로 지정
  • path=/home 
    • /home → 가능 
    • /home/level1 → 가능 
    • /home/level1/level2 → 가능
    • /hello → 불가능
• 도메인으로 한 번 필터를 하고, 경로를 설정해 한 번 더 필터 하는 격 (도메인 안의 경로)

---

쿠키 보안 (Secure, HttpOnly, SameSite)

• Secure
  • 쿠키는 http, https를 구분하지 않고 전송
  • Secure를 적용하면 https인 경우에만 전송
• HttpOnly
  • XSS 공격 방지
  • 자바스크립트에서 접근 불가(document.cookie)
  • HTTP 전송에만 사용 
• SameSite
  • XSRF 공격 방지 
  • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송 

set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure

---

[참고자료]

김영한, "모든 개발자를 위한 HTTP 웹 기본 지식", 인프런