인프런 강의 학습/HTTP 기본 지식

HTTP 웹 기본 지식 16일차

현호s 2021. 1. 24. 12:35
반응형

# 모든 개발자를 위한 HTTP 웹 기본 지식 학습

# 쿠키

  • Set-Cookie : 서버에서 클라이언트로 쿠키 전달(응답)
  • Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

## 쿠키 미사용

  • 처음 Welcone 페이지 접근
웹 브라우저 
GET /welcome HTTP/1.1

서버
HTTP/1.1 200 OK
안녕하세요. 손님
  • 로그인
웹 브라우저
POST /login HTTP/1.1
user=홍길동

서버
HTTP/1.1 200 OK
홍길동님이 로그인했습니다.
  • 로그인 이후 welcome 페이지 접근
웹 브라우저
GET /welcome HTTP/1.1

서버
HTTP/1.1 200 OK
안녕하세요. 손님
( 서버 입장에서는 로그인 여부 구분이 x )

## 무상태 (Stateless)

  • HTTP는 무상태(Stateless) 프로토콜이다.
  • 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다.
  • 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.
  • 클라이언트와 서버는 서로 상태를 유지하지 않는다.

## 쿠키 미사용

  • 대안 - 모든 요청에 사용자 정보 포함
웹 브라우저
GET /welcome?user=홍길동 HTTP/1.1

서버
HTTP/1.1 200 OK
안녕하세요. 홍길동님
  • 위 대안의 문제점 : 모든 요청과 링크에 사용자 정보 포함

## 모든 요청에 정보를 넘기는 문제

  • 모든 요청에 사용자 정보가 포함되도록 개발 해야함
  • 브라우저를 완전히 종료하고 다시 열면?..

## 쿠키

  • 로그인
웹 브라우저
POST /login HTTP/1.1
user=홍길동

서버
HTTP/1.1 200 OK
Set-Cookie; user=홍길동;
홍길동님이 로그인했습니다.

쿠키 저장소
쿠키 저장소에 'user=홍길동' 저장
  • 로그인 이후 welcome 페이지 접근
웹 브라우저
GET /welcome HTTP/1.1
Cookie: user=홈길동

쿠키 저장소
쿠키 저장소에서 'user=홍길동' 조회

서버
HTTP/1.1 200 OK
안녕하세요. 홍길동님
  • 모든 요청에 쿠키 정보 자동 포함
  • 쿠키의 예
set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure
  • 쿠키의 사용처
사용자 로그인 세션 

광고 정보 트래킹
  • 쿠키 정보는 항상 서버에 전송됨
네트워크 트래픽 추가 유발

최소한의 정보만 사용(세션, id, 인증 토큰)

서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 참고
  • 쿠키 주의사항!!
보안에 민감한 데이터는 저장하면 안된다. (주민번호, 신용카드 번호 등등)

## 쿠키- 생명주기 (Expires, max-age)

  • Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT
만료일이 되면 쿠키 삭제
  • Set-Cookie: max-age=3600 (3600초)
0이나 음수를 지정하면 쿠키 삭제
  • 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
  • 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지

## 쿠키 - 도메인 (Domain)

  • 쿠키 도메인 예)
domain=example.org
  • 명시 : 명시한 문서 기준 도메인 + 서브 도메인 포함
domain=example.org를 지정해서 쿠키 생성

example.prg는 물론이고, dev.example.org도 쿠키 접근
  • 생력 : 현재 문서 기준 도메인만 적용
example.org에서 쿠키를 생성하고 domain 지정을 생략

example.org에서만 쿠키 접근, dev.example.org는 쿠키 미접근

## 쿠키 - 경로 (Path)

  • 쿠키 경로 예)
path=/home
  • 이 경로를 포함한 하위 경로 페이지만 쿠키 접근
  • 일반적으로 path=/ 루트로 지정
  • 예시)
path=/home 지정

/home 가능
/home/level1 가능
/home/level1/level2 가능

/hello 불가능

## 쿠키 - 보안 (Secure / HttpOnly / SameSite)

  • Secure
쿠키는 http, https를 구분하지 않고 전송

Secure를 적용하면 https인 경우에만 전송
  • HttpOnly 
XSS 공격 방지

자바스크립트에서 접근 불가 (document.cookie)

HTTP 전송에만 사용
  • SameSite
XSRF 공격 방지

요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송

 

 

 

출처 : 인프런 모든 개발자를 위한 HTTP 웹 기본 지식

반응형
저작자표시 (새창열림)