## 인프런 김영한님의 강의 내용 기록 ##
- 쿠키 - - - -
Set-Cookie : 서버에서 클라이언트로 쿠키 전달(응답) Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달
HTTP는 stateless를 지향, 그래서 Cookie와 Session이 필요하다.
쿠키가 없다면 매번 클라이언트 정보가 요청에 담기기에 그렇게 개발하는 것도 힘들고 보안에도 취약하다.
Cookie는 모든 요청 정보에 쿠키 정보를 자동으로 포함한다(제약 가능) 그것도 data를 은닉한 채로.
set-cookie : sessionId=””; expires=””; path=””; domain=””; secure=””;
사용처 - 사용자 로그인 세션 관리 광고 정보 트래킹
쿠키 정보는 항상 서버에 전송됨 - 네트워크 트래픽 추가 유발 최소한의 정보만 사용(세션 id, 인증 토큰) 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 참고(local-session-Storage)
보안에 민감한 데이터는 저장하면 안됨(주민번호, 신용카드정보 등)
쿠키의 생명주기 - expires = ~~ GMT max-age = ~~sec 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료시 까지만 유지 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지
쿠키의 도메인 - 생각해보면 아무 사이트에 들어갈 때마다 쿠키를 전송하면 큰일 난다.
명시 : 명시한 문서 기준 도메인 + 서브 도메인 포함 생략 : 현재 문서 기준 도메인만 적용 ex ) domain = example.org 지정시 dev.example.org 도 쿠키 접근 생략하면 dev.~ 에서는 쿠키 미접근
쿠키의 경로(path) - ex ) “path=/home” 이 경로를 포함한 하위 경로로 페이지만 쿠키 접근 일반적으로 “path=/” 루트로 지정
쿠키의 보안 - Secure = https인 경우에만 전송 HttpOnly = XSS 공격 방지 = js에서 접근 불가 = HTTP 전송에만 사용 SameSite = XSRF 공격 방지 = 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송