Http Only Cookies

728x90

MaxAge : 쿠키가 유지되는 시간(초)

Expires : 쿠키가 만료되는 날짜와 시간

→ 둘 중 하나라도 설정하지 않으면 쿠키는 브라우저가 종료될 때까지 유지 : Session Cookie

쿠키는 클라이언트에서 자바스크립트로 조회할 수 있기 때문에 해커들이 자바스크립트로 쿠키를 가로채고자 시도.

가장 대표적인 공격 중 하나 CSS(Cross Site Scripting)

→ CSS 취약점 해결하는 방법 : 브라우저에서 쿠키에 접근할 수 없도록 제한하는 것.

⇒ 이 역할을 하는 것 HTTP Only Cookie

개발자가 간단한 접미사를 쿠키생성코드에 추가함으로써 활성화 가능.

Set-Cookie: 쿠키명=쿠키값; path=/; HttpOnly

XSS 같은 공격 차단.

서버 측에서 제공되는 Script가 아닌 권한 없는 사용자가 웹사이트에 Script를 삽입해 의도치 않은 동작을 일으키는 공격

클라이언트 측에서 HTTP 통신 외에 Cookie에 접근 불가능하도록 함.

즉, HttpOnly Attribute를 가진 쿠키는 클라이언트에서 JavaScript를 통해 접근이 금지 됨.

[Web] HTTP Only와 Secure Cookie 이해하기

Cookie에 대한 이해 쿠키는 ASP.NET, PHP와 같은 특정 기술영역에 국한된 것도 아니고, 특정 Client나 Server에만 국한된 기술도 아닙니다. 쿠키는 수십 년 전부터 사용되어 왔으며 최근에는 HTTP에 있어서

nsinc.tistory.com

XSS 공격과 쿠키의 HttpOnly

서버 측에서 제공되는 Script가 아닌 권한이 없는 사용자(이하 해커)가 웹사이트에 Script를 삽입하여 의도치 않은 동작을 일으키는 공격주로 JavaScript로 작성된 Script를 통해 공격이 가해진다.XSS 방

velog.io

728x90

오늘 하루