- Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답)
- Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달
생명주기 Expires, max-age
- Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT - 만료일이 되면 쿠키 삭제
- Set-Cookie: max-age=3600 (3600초) - 0이나 음수를 지정하면 쿠키 삭제
- 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
- 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지
도메인 Domain
- 예) domain=example.org
- 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함
- domain=example.org를 지정해서 쿠키 생성
- example.org는 물론이고
- dev.example.org도 쿠키 접근
- 생략: 현재 문서 기준 도메인만 적용
- example.org 에서 쿠키를 생성하고 domain 지정을 생략
- example.org 에서만 쿠키 접근
- dev.example.org는 쿠키 미접근
경로 Path
예) path=/home
- 이 경로를 포함한 하위 경로 페이지만 쿠키 접근
- 일반적으로 path=/ 루트로 지정
예)
- path=/home 지정
- /home -> 가능
- /home/level1 -> 가능
- /home/level1/level2 -> 가능
- /hello -> 불가능
보안 Secure, HttpOnly, SameSite
Secure
- 쿠키는 http, https를 구분하지 않고 전송
- Secure를 적용하면 https인 경우에만 전송
HttpOnly
- XSS 공격 방지
- 자바스크립트에서 접근 불가(document.cookie)
- HTTP 전송에만 사용
SameSite
- XSRF 공격 방지
- 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송
'개발이 좋아서 > HTTP가 좋아서' 카테고리의 다른 글
| HTTP 헤더(캐시와 조건부 요청) - 캐시 제어 헤더 / 확실한 캐시 무효화 (0) | 2024.12.18 |
|---|---|
| HTTP 헤더(캐시와 조건부 요청) - 검증 헤더와 조건부 요청 (2) | 2024.12.18 |
| HTTP 헤더(일반 헤더) - 전송 방식 / 일반 정보 / 특별한 정보 / 인증 (0) | 2024.12.17 |
| HTTP 헤더(일반 헤더) - HTTP 헤더 표현 (0) | 2024.12.17 |
| HTTP 헤더(일반 헤더) - 콘텐츠 협상 (0) | 2024.12.17 |