반응형
서버 설정을 보다 web.xml 파일 내부에 쿠키 설정 부분을 보게 되었다.
위에 설정 중에 http-only , secure 설정은 모두 쿠키 정보를 탈취 당하지 않기 위해 설정되는 값이다.
이 부분을 한 번 알아보고자 한다.
1) Http-Only
- 브라우저에서 쿠키로 접근할 수 없도록 제한하는 속성(쿠키는 클라이언트에서 자바스크립트로 조회가 가능하기 때문에)
- XSS 공격이 차단된다.
2) Secure
- 통신상 정보 유출을 막기 위해서 HTTP가 아닌 HTTPS 통신을 활용 설정 속성
- HTTP 통신이 아닌 환경에서는 쿠키를 전송하지 않는다.
위 속성들은 보안상 확인해야 할 기본적인 속성에 속한다. 나는 로컬에서 테스트하느라고 Secure 속성을 false 로 변경해서 사용했지만 일반적으로는 true 값을 설정해야 안전하다.
반응형
'지식' 카테고리의 다른 글
| [Developer] Oracle SQL Developer, 자동정렬(Ctrl + F7) (0) | 2023.11.09 |
|---|---|
| [MOUSE] 로지텍 M280 분해하기 (0) | 2023.09.14 |
| [USB] 쓰기 방지 된 USB (0) | 2023.08.21 |
| [Client IP] request.getRemoteAddr() X-Forwarded-For (0) | 2023.08.10 |
| [Mac] MacBook Pro(Retina, 13-inch, Late 2013) 배터리 교체 (0) | 2023.07.28 |