🍪 Cookie

🍪 쿠키가 뭘까?

🍪 이름의 기원

"쿠키"라는 용어는 루 몬툴리라는 사람에 의해서 만들어 졌다고 한다. 유닉스 프로그래머들이 사용한, 프로그램이 수신 후 변경하지 않은 채로 반환하는 데이터의 패킷을 의미하는 매직쿠키라는 용어에서 비롯되었다.
출처: https://ko.wikipedia.org/wiki/HTTP_%EC%BF%A0%ED%82%A4

🍪 쿠키 정의

쿠키는 어떤 웹사이트에 들어갔을 대 서버가 일방적으로 클라이언트에게 전달하는 작은 데이터를 의미한다.
서버가 웹브라우저에 정보를 저장하고 불러올 수 있는 수단이다. 그리고 해당 도메인에 대해 쿠키가 존재하면, 웹 브라우저는 도메인에게 http요청 시 쿠키를 함께 전달 한다.
stateless한 http를 쿠키를 통해서 stateful하게 만들 수 있다. 그래서 우리는 쿠키를 사용해서 로그인을 유지하고, 테마를 유지(다크모드)할 수 있다.

🍪 쿠키 옵션

Domain

Domain은 흔히 우리가 아는 도메인을 의미한다.
예를 들어 'google.com', 'naver.com' 등이 있다.

Path

서버 라우팅할때 사용하는 경로를 의미한다.
예를들어 '/', 'users', 'user/login' 등이 있다.

Maxage or Expires

쿠키가 유요한 기간을 의미한다. 그래서 MaxAge는 앞으로 유요한 시간을 지정하고, Expires는 언제까지 유요한지 date를 입력한다.

Secure

쿠키를 전송해야 할 때 사용하는 프로토콜에 따른 쿠키전송 여부를 결정한다.
만약 secure가 true일때 https프로토콜을 이용하여 전송가능하다.

HttpOnly

javascript에서 브라우저에 접근 여부를 결정하게 된다.
만약 httpOnly가 true로 설정되었을 경우, 자바스크립트에서 접근할 수 없다. httpOnly는 기본적으로 false로 설정되었는데, 이 경우 'XSS'공격에 취약하다.

SameSite

Cross-Origin 요청을 받은 경우 요청에서 사용한 메소드와 해당 옵션의 조합으로 서버의 전송여부를 판단하게 된다.

Lax : Cross-Orgin 요청이면 'GET'메소드에 한에서 쿠키를 전송할 수 있다.
Strict : Cross-Orgin 아닌 same-site인 경우에만 쿠키를 전송할 수 있다.
None : 항상 쿠키를 보낼 수 있다. 다만 옵션 중 Secure옵션이 필요하다.

위와 같은 옵션들을 지정한다음 서버에서 클라이언트로 처음 쿠키를 전송하게 된다면 headers에 Set-Cookie라는 프로퍼티에 쿠키를 담아 쿠키를 전송하게 된다. 이후 클라이언트 혹은 서버에서 쿠키를 전송해야 한다면 클라이언트는 해더에 Cookie라는 프로퍼티에 정보를 담아 서버에 전송하게 된다.