Secure 과 HttpOnly 쿠키 설정
HttpOnly : 브라우저에서 바로 쿠키에 접근할 수 없도록 제한하는 것으로 쿠키 생성 코드에 추가하여 활성화 할 수 있습니다!
예시)
Set-Cookie: cookiename=secur1ty; path=; HttpOnly
Secure : https가 아닌 통신구간에서는 쿠키를 전송하지 않을 수 있게 합니다!
예시)
Set-Cookie: cookiename=secur1ty; path=; Secure
sameSite 쿠키 설정
웹 페이지 상의 외부 리소스가 사이트 도메인과 일치하지 않는 쿠키에 접근하는 상황을 막고자
same-site 상황에서만 쿠키에 접근 가능하게 하기 위해 두가지 설정 중 (SameSite=Lax 또는 SameSite=Strict) 하나를 적용하시는 것을 추천합니다!!!
SameSite 쿠키는 주요 브라우저에서 지원된다고 하네요!!(2020년 2월부터 Chrome에 적용됨)
예시 )
Set-Cookie: key=value; SameSite=Strict
SameSite 속성은 세가지 값 중 하나를 가질 수 있는데
None, Strict, Lax 이렇게 3가지 입니다!
None은 말 그대로 값을 지정하지 않는 방법이라 Third party Context 상황에도 쿠키를 사용하도록 하는 것
Strict는 first-party cookie로만 쿠키전송을 할 수 있도록 하는 것
Lax는 평상시에는 frist-party cookie로 전송하나 필요에 따라 예외적인 상황이 있는 것
잘 알아보시고 맞는 옵션으로 설정하시면 됩니다!