HTTP 쿠키의 보안 설정 방법

HTTP 쿠키의 보안 설정 방법

쿠키(Cookie)를 간단하게 정의하면 클라이언트 개개인의 상태 정보를 담고 있는 데이터이다. 쿠키에 있는 정보를 해킹 당하게 된다면 자신의 개인 정보를 도난당하는 것이기 때문에 심각한 피해를 입을 수 있다. 이런 중요한 정보를 보호하기 위해서 어떤 보안 설정 방법이 있는지 알아보자.

1. HttpOnly

서버에서는 Set-Cookie 응답 헤더를 이용하여 쿠키를 설정하는데, 이 설정을 Set-Cookie에 추가하게 되면 클라이언트의 환경(웹 브라우저)에서 스크립트(Java 등)로 쿠키에 접근하는 것을 차단할 수 있다. 이 설정을 함으로써 XSS(Cross Site Script)공격에 대응이 가능하다.

2. Secure

이 설정 역시 Set-Cookie 응답 헤더에서 설정한다. 클라이언트의 환경(웹 브라우저)에서 HTTPS(SSL/TLS) 통신일 때만 쿠키를 전송하는 방식이다. HTTP를 이용한다면 쿠키를 전송하지 않는다.

즉, 평문으로 쿠키를 전송하지 않기 때문에 기밀성이 보장되는 방법이다.

3. HttpOnly 및 Secure 속성 설정 방법

1) Servlet 3.0 환경 : web.xml 파일에 아래 내용 추가

true

true

... 생략 = cookie.setHttpOnly(true)

2) 제우스(JEUS) : WEBMain.xml 이나 jeus-web-dd.xml에서 설정

true

true

3) JBoss

from http://jihwan-study.tistory.com/82 by ccl(A) rewrite - 2021-10-14 17:01:24