백고등어 개발 블로그
쿠키 설정 옵션 본문
domain - 서버와 요청의 도메인이 일치하는 경우 쿠키 전송
path - 서버의 요청의 세부경로가 일치하는 경우 쿠키 전송
maxage/expires - 쿠키의 유효기간 설정
httpOnly - 스크립트의 쿠키 접근 가능 여부 설정
secure - HTTPS 에서만 쿠키 전송 여부 설정
sameSite - CORS 요청의 경우, 옵션 및 메서드에 따라 쿠키 전송 여부 설정
sameSite: "Strict" or "Lax" or "None"
// 서로 다른 도메인간의 쿠키 전송에 대한 보안을 설정. defalt: "Lax"
// "Strict" : 서로 다른 도메인에서 아예 전송 불가능. 보안성은 높으나 편의가 낮다.
// "Lax" : 서로 다른 도메인이지만 일부 예외( HTTP get method / a href / link href )에서는 전송 가능.
// "None" : 모든 도메인에서 전송 가능
// 좀더 자세히는 https://web.dev/samesite-cookies-explained/
[Web] Secure 및 HttpOnly 쿠키 옵션 | mingzzi
XSS는 수 년간 OWASP Top 10에서 사라지지 않는 취약점 중 하나이다. XSS의 주된 공격 타겟은 바로 Session Cookies 탈취라고 한다. 그래서 오늘은 이에 대응할 수 있는 Secure 와 HttpOnly 옵션에 대해 정리하
mingzz1.github.io
[Web] HTTP Only와 Secure Cookie 이해하기
Cookie에 대한 이해 쿠키는 ASP.NET, PHP와 같은 특정 기술영역에 국한된 것도 아니고, 특정 Client나 Server에만 국한된 기술도 아닙니다. 쿠키는 수십 년 전부터 사용되어 왔으며 최근에는 HTTP에 있어서
nsinc.tistory.com
'Node.js' 카테고리의 다른 글
| Node.js AWS S3 연결 및 사용 (0) | 2021.02.03 |
|---|---|
| withCredentials 와 크로스 도메인 (0) | 2020.12.10 |
| http.createServer 메소드의 CORS 응답처리 (1) | 2020.11.15 |
