Open liamchoi943 opened 3 years ago
Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답) Cooke: 클라이언트가 서버에서 받은 쿠키를 저장하고, http요청시 서버로 전달
<< 서버가 홍길동인지 이순신인지 모른다...
Stateless http는 무상태 프로토콜이다 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못함 클라이언트와 서버는 서로 상태를 유지 하지 않는다.
(보안문제와... 개발하기 겁나 힘듦)... << 브라우저를 완전히 종료하고 다시 열면???
<< 모든 요청에 쿠키 정보 자동 포함...
보안 문제를 해결!!! 예 set-cookie: sessionid = abcde1234; expires= (date); path=/; domain= asdf.com; secure
사용처:
쿠키정보는 항상 서버에 전송됨
쿠키 - 생명주기 Expires, max-age Set-Cookie: expires (date) << 만료일되면 쿠키 자동삭제 Set-Cookie: max-age = 3600 (3600초...) 0이나 음수를 지정하면 쿠키 삭제 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시까지만 유지 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지
쿠키 - 도메인 예 domain= example.com 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함 domain= example.com을 지정해서 쿠키생성 dev.example.org도 쿠키 접근
생략: 현재 문서 기준 도메인만 적용 example.com 에서 쿠키를 생성하고 domain 지정을 생략... example.com에서만 쿠키 접근 하위 도메인에서는 접근 불가능
쿠키 - path
예) path=\home
이 경로를 포함한 하위 경로 페이지만 쿠키 접근 일반적으로 path=/루트로 지정 예) path = /home /home-> 가능 /home/level1-> 가능 등등.... /hello 불가능
쿠키-보안 (secure, httponly, samesite)
Secure 쿠키는 http, https를 구분하지 ㅇ낳고 전송 secure를 적용하면 https인 경우에만 전송
httponly xss공격 방지 자바스크립트에서 접근 불가 http전송에만 사용
samesite XSRF 공격 방지 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송
Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답) Cooke: 클라이언트가 서버에서 받은 쿠키를 저장하고, http요청시 서버로 전달
Stateless http는 무상태 프로토콜이다 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못함 클라이언트와 서버는 서로 상태를 유지 하지 않는다.
보안 문제를 해결!!! 예 set-cookie: sessionid = abcde1234; expires= (date); path=/; domain= asdf.com; secure
사용처:
쿠키정보는 항상 서버에 전송됨
쿠키 - 생명주기 Expires, max-age Set-Cookie: expires (date) << 만료일되면 쿠키 자동삭제 Set-Cookie: max-age = 3600 (3600초...) 0이나 음수를 지정하면 쿠키 삭제 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시까지만 유지 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지
쿠키 - 도메인 예 domain= example.com 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함 domain= example.com을 지정해서 쿠키생성 dev.example.org도 쿠키 접근
생략: 현재 문서 기준 도메인만 적용 example.com 에서 쿠키를 생성하고 domain 지정을 생략... example.com에서만 쿠키 접근 하위 도메인에서는 접근 불가능
쿠키 - path
예) path=\home
이 경로를 포함한 하위 경로 페이지만 쿠키 접근 일반적으로 path=/루트로 지정 예) path = /home /home-> 가능 /home/level1-> 가능 등등.... /hello 불가능
쿠키-보안 (secure, httponly, samesite)
Secure 쿠키는 http, https를 구분하지 ㅇ낳고 전송 secure를 적용하면 https인 경우에만 전송
httponly xss공격 방지 자바스크립트에서 접근 불가 http전송에만 사용
samesite XSRF 공격 방지 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송