Set-Cookie Secure/HttpOnly

HTTP 쿠키의 Secure 옵션은 HTTPS와 같은 보안 연결을 통해서만 쿠키를 보내도록 웹 브라우저에 지시하는 보안 메커니즘입니다. 쿠키가 Secure으로 표시되면 브라우저는 연결이 TLS/SSL로 암호화된 경우에만 쿠키를 서버로 보냅니다.

Secure 옵션을 사용하면 네트워크 트래픽을 도청할 수 있는 공격자가 쿠키를 가로채지 못하도록 보호할 수 있습니다. Secure 옵션이 없으면 공격자는 HTTP 요청을 가로채고 쿠키를 도용하여 사용자를 가장하는 데 사용할 수 있습니다.


Set-Cookie: mycookie=myvalue; Path=/; Secure
Set-Cookie를 이용해 헤더에 Secure 속성을 추가하여 설정됩니다. 이것은 HTTPS를 통해서만 쿠키를 보내도록 브라우저에 지시합니다.

Secure 옵션은 세션 ID 또는 인증 토큰과 같은 민감한 정보가 포함된 쿠키에만 사용하도록 해야 합니다. 모든 쿠키에 Secure 옵션을 사용하면 암호화된 트래픽 양이 증가하고 웹사이트 속도가 느려질 수 있습니다.

Secure 옵션은 쿠키가 보안 연결을 통해서만 전송되도록 하는 보안 메커니즘입니다. 이는 가로채기로부터 쿠키를 보호하고 웹 애플리케이션의 보안을 강화하는 데 도움이 됩니다.





HTTP 쿠키의 HttpOnly 옵션은 클라이언트 측 스크립트가 쿠키에 액세스 하지 못하도록 웹 브라우저에 지시하는 보안 메커니즘입니다. 쿠키가 HttpOnly로 표시되면 JavaScript 또는 기타 클라이언트 측 스크립트가 쿠키에 액세스 할 수 없으므로 XSS(cross-site scripting) 공격으로부터 쿠키를 보호하는 데 도움이 됩니다.

HttpOnly 옵션은 공격자가 악성 스크립트를 웹사이트에 삽입하여 세션 ID 또는 인증 토큰과 같은 중요한 정보를 훔치는 것을 방지합니다. HttpOnly 옵션이 없으면 공격자는 XSS 취약점을 사용하여 사용자 브라우저에서 쿠키를 훔칠 수 있습니다.


Set-Cookie: mycookie=myvalue; Path=/; HttpOnly
Set-Cookie를 이용하여 헤더에 HttpOnly 특성을 추가하여 설정됩니다 클라이언트 측 스크립트가 쿠키에 액세스 하지 못하도록 브라우저에 지시합니다.

HttpOnly 옵션은 세션 ID 또는 인증 토큰과 같은 민감한 정보가 포함된 쿠키에만 사용해야 합니다. 모든 쿠키에서 HttpOnly 옵션을 사용하면 쿠키에 액세스 하기 위해 클라이언트 측 스크립트에 의존하는 웹 애플리케이션의 기능이 제한될 수 있습니다.

HttpOnly 옵션은 클라이언트 측 스크립트가 쿠키에 액세스 하지 못하도록 하는 보안 메커니즘입니다. XSS 공격으로부터 쿠키를 보호하고 웹 애플리케이션의 보안을 강화시킬 수 있습니다.