HTTP 쿠키의 보안 설정 방법 & HTTP 요청 메소드 종류

쿠키(Cookie)를 간단하게 정의하면 클라이언트 개개인의 상태 정보를 담고 있는 데이터이다. 쿠키에 있는 정보를 해킹 당하게 된다면 자신의 개인 정보를 도난당하는 것이기 때문에 심각한 피해를 입을 수 있다. 이런 중요한 정보를 보호하기 위해서 어떤 보안 설정 방법이 있는지 알아보자.

 

1. HttpOnly 

서버에서는 Set-Cookie 응답 헤더를 이용하여 쿠키를 설정하는데,

이 설정을 Set-Cookie에 추가하게 되면 클라이언트의 환경(웹 브라우저)에서 스크립트(Java 등)로

쿠키에 접근하는 것을 차단할 수 있다. 이 설정을 함으로써 XSS(Cross Site Script)공격에 대응이 가능하다.

 

 

2. Secure

이 설정 역시 Set-Cookie 응답 헤더에서 설정한다. 

클라이언트의 환경(웹 브라우저)에서 HTTPS(SSL/TLS) 통신일 때만 쿠키를 전송하는 방식이다.

HTTP를 이용한다면 쿠키를 전송하지 않는다.

즉, 평문으로 쿠키를 전송하지 않기 때문에 기밀성이 보장되는 방법이다.

 

 

 

 

 

HTTP의 요청 메소드는 HTTP 구조에서 요청 라인(Request Line)에 속하는 부분에 존재한다.

그리고 메소드의 종류에는 대표적으로 GET / POST가 있으며 그 외에도 여러 가지가 있다.

GET	URI로 서버에 자원을 요청하는 메소드. 데이터의 전송 값에 제한이 있다.(Query String 사용)
POST	URI로 서버에 데이터를 전달, 처리 결과를 서버에 요청. 요청 메시지는 Body에 있다.
CONNECT	서버 - 클라이언트간 터널링 목적으로 사용.
HEAD	검색엔진에서 URL 유효성 검증을 위해 사용.
PUT	요청 메시지 Body에 포함된 데이터를 요청 URI로 저장 되도록 한다.
OPTIONS	서버가 지원하는 메소드 확인 용도.
TRACE	요청에 대한 루프백 용도로 사용.
DELETE	URI로 지정한 자원을 서버에서 삭제.