[스프링] HTTP Only와 Secure Cookie

• HTTP Only는 사용자의 상태를 기억하기 위해 쿠키에 정보를 담아 통신하는데, 이를 통해 공격자들이 자바스크립트를 사용하여 쿠키를 탈취하는 것을 방지하는 방법입니다. 이 방법은 브라우저에서 쿠키에 접근할 수 없도록 제한하며, 이를 통해 XSS 공격을 방어할 수 있습니다.

• Secure Cookie는 HTTP Only와 마찬가지로 쿠키의 보안을 강화하는 방법 중 하나로, 이 방법은 쿠키가 HTTPS를 통해서만 전송되도록 강제하는 것입니다. 이를 통해 공격자가 중간에서 쿠키를 가로채는 것을 방지할 수 있습니다.

• 쿠키 정보의 유출을 막기 위해 HTTPS를 사용하여 데이터를 암호화하는 방법이 주로 사용되며, 이를 통해 쿠키도 암호화되어 전송되므로 제3자가 내용을 파악하기 어렵다. 하지만 HTTPS로 전송되어야 할 데이터가 HTTP를 통해 유출되는 경우를 방지하기 위해 쿠키 생성 시 secure 접미사를 사용하는 secure cookie 방식을 사용할 수 있다.

• secure cookie 설정을 활성화하면 HTTPS를 사용하지 않은 서버에게는 쿠키를 전송하지 않는다. 이를 통해 http로 요청 시 Request Headers에 쿠키 정보가 없음을 확인할 수 있으며, 이는 쿠키 정보의 보안을 강화하는 데 도움이 된다.