-
HTTP 쿠키의 보안 설정 방법 & HTTP 요청 메소드 종류Engineer information security 2021. 3. 5. 01:48반응형
쿠키(Cookie)를 간단하게 정의하면 클라이언트 개개인의 상태 정보를 담고 있는 데이터이다. 쿠키에 있는 정보를 해킹 당하게 된다면 자신의 개인 정보를 도난당하는 것이기 때문에 심각한 피해를 입을 수 있다. 이런 중요한 정보를 보호하기 위해서 어떤 보안 설정 방법이 있는지 알아보자.
1. HttpOnly
서버에서는 Set-Cookie 응답 헤더를 이용하여 쿠키를 설정하는데,
이 설정을 Set-Cookie에 추가하게 되면 클라이언트의 환경(웹 브라우저)에서 스크립트(Java 등)로
쿠키에 접근하는 것을 차단할 수 있다. 이 설정을 함으로써 XSS(Cross Site Script)공격에 대응이 가능하다.
2. Secure
이 설정 역시 Set-Cookie 응답 헤더에서 설정한다.
클라이언트의 환경(웹 브라우저)에서 HTTPS(SSL/TLS) 통신일 때만 쿠키를 전송하는 방식이다.
HTTP를 이용한다면 쿠키를 전송하지 않는다.
즉, 평문으로 쿠키를 전송하지 않기 때문에 기밀성이 보장되는 방법이다.
HTTP의 요청 메소드는 HTTP 구조에서 요청 라인(Request Line)에 속하는 부분에 존재한다.
그리고 메소드의 종류에는 대표적으로 GET / POST가 있으며 그 외에도 여러 가지가 있다.
GET URI로 서버에 자원을 요청하는 메소드. 데이터의 전송 값에 제한이 있다.(Query String 사용) POST URI로 서버에 데이터를 전달, 처리 결과를 서버에 요청. 요청 메시지는 Body에 있다. CONNECT 서버 - 클라이언트간 터널링 목적으로 사용. HEAD 검색엔진에서 URL 유효성 검증을 위해 사용. PUT 요청 메시지 Body에 포함된 데이터를 요청 URI로 저장 되도록 한다. OPTIONS 서버가 지원하는 메소드 확인 용도. TRACE 요청에 대한 루프백 용도로 사용. DELETE URI로 지정한 자원을 서버에서 삭제. 반응형'Engineer information security' 카테고리의 다른 글
FTP Active Mode 와 Passive Mode (0) 2021.03.08 FTP의 동작 방식과 취약점 알아보기 (0) 2021.03.07 HTTP 상태 코드 알아보기 (0) 2021.02.25 세션(Session)이란 무엇일까? (0) 2021.02.22 쿠키(Cookie)란 무엇일까? (0) 2021.02.19