🔗 참고자료

위키피디아 / 사이트간 요청 위조 / https://en.wikipedia.org/wiki/Cross-site_request_forgery

NHN Cloud Meetup! / 브라우저 싸움에 등 터지는 개발자들을 위한 HTTP쿠키와 톰캣 쿠키 프로세서 이야기 / https://meetup.toast.com/posts/209

쿠키와 세션 개념 / https://interconnection.tistory.com/74

쿠키/세션/토큰 자료 아카이빙

• (Web) 브라우저 저장소 (쿠키와 세션, 토큰) 1주차스터디

예상질문 및 답변

• 쿠키와 세션의 차이점을 중심으로 설명해주세요.

  • 공통점 언급(상태 저장을 위해)
  • 주요 차이점 → 저장/관리 위치
    • 추가) 쿠키 보안적으로 취약한 부분을 세션으로 어느정도 커버
  • 꼬리 쿠키로 가능한데도 세션을 사용하는 이유는 뭘까요?
    • 보안이 가장 큰 이유
    • 쿠키의 저장용량 이슈(4kb, key-value개수 제한)
  • 꼬리 XSS 공격 → 무엇이고, 어떻게 대비할 수 있는지
  • 꼬리 쿠키의 주요 옵션들은 무엇이고 언제 사용하는지
    • secure : https만 사용가능
    • http-only : 스크립트를 통한 쿠키 접근 차단
    • same-site : CORS 세팅관련
    • http-only → 단점
  • 세션 서버 부하가 올 수 있음
  • 동작 원리상 차이점이 있는지?

• 웹스토리지 종류와 차이점

  • 로컬스토리지
    • 영구적으로 보존
  • 세션스토리지
    • 브라우저 창 닫게 되면 사라진다
  • 꼬리 프로젝트 사용한 경험있는지? 어떻게 왜 사용하셨나요?
    • 어떤 정보를 저장했고 → 왜 사용했는지 말하면 좋겠다. (면접관은 우리 프로젝트를 잘 모르니까)
    • 꼬리 임의로 수정하면 어떻게 됩니까?

From gitHub

쿠키가 무엇인가요?

쿠키는 클라이언트(브라우저)에 저장되는 키-값 쌍의 문자열 데이터입니다.

최대 4KB로 용량이 매우 작습니다.

만료기간이 있습니다.

자바스크립트 cookie API를 통해 클라이언트에서 쿠키를 만들 수도 있지만, 쿠키는 보통 특정 목적을 위해 사용하기 때문에 서버에서 쿠키를 발행해서 클라이언트에 넘겨줍니다. 이 때 응답 headers에 set-Cookie속성을 사용하여 넘겨줍니다. 쿠키를 클라이언트에서 서버로 보낼 때는, 브라우저가 자동으로 header에 쿠키를 넣어서 요청을 합니다.

쿠키는 왜 생겨났나요?

루 몬툴리가 유닉스 프로그래머들이 사용하는 '매직쿠키'라는 용어에서 영감을 얻어 이름지었습니다. 1994년 당시, 루 몬툴리는 넷스케이프에서 근무하고 있었는데, 전자상거래 앱을 개발하고 있었습니다. 넷스케이프는 방문했던 사용자인지 아닌지를 구분하기 위해 각 사용자의 상태를 저장할 수 있는 방법이 무엇인지 고민하였는데, 쿠키는 이 문제를 해결할 수 있었습니다.

왜 사용자의 상태를 저장할 수 없었나요? → HTTP 프로토콜의 매 연결(요청과 응답)은 일회성이고 독립적으로 처리됩니다. 만약 어떤 정보를 HTTP 프로토콜로 계속 요청과 응답을 주고받아야 한다면 매우 번거롭고 웹 로딩을 느리게 만들 수 있습니다. 그래서 그런 번거로움을 쿠키와 세션으로 해결할 수 있습니다.