HttpOnly 쿠키 옵션을 설정하는 이유

[gyungchan-jo]

.

[Kimprodp]

HttpOnly 쿠키 옵션을 설정하는 이유는 웹 애플리케이션의 보안 강화를 위해서이다.

1. XSS 공격 방지 : XSS(Cross-Site Scripting)는 서버 측에서 제공되는 스크립트가 아닌 권한이 없는 사용자가 웹사이트에 스크립트를 삽입하여 의도치 않은 동작을 일으키는 공격으로 HttpOnly 옵션을 설정하면 클라이언트 측 스크립트에서 쿠키에 접근할 수 없게 되어, XSS 공격자가 스크립트를 통해 쿠키 값을 탈취하는 것을 방지할 수 있다.

2. 세션 하이재킹 방지 : 세션 하이재킹은 공격자가 사용자 세션을 가로채서 사용자의 권한으로 애플리케이션에 접근하는 공격으로 HttpOnly 옵션을 설정하면 세션 쿠키가 클라이언트 측 스크립트에 의해 노출되지 않으므로 세션 하이재킹 위험을 줄일 수 있다.

HttpServletResponse 객체를 통해 HttpOnly 쿠키 설정이 가능하다.

Cookie cookie = new Cookie("sessionId", "abc123");
cookie.setHttpOnly(true);

[seunghye218]

쿠키에 대한 접근 차단

HttpOnly 속성이 있는 쿠키는 Document.cookie를 사용하는 등 자바스크립트로 수정할 수 없으며, 서버에 도달할 때만 수정할 수 있습니다. 예를 들어 사용자 세션을 지속하는 쿠키는 자바스크립트에서 사용할 수 있도록 하는 것은 매우 안전하지 않으므로 HttpOnly 속성을 설정해야 합니다. 이 조치는 XSS(크로스 사이트 스크립팅) 공격을 방지하는 데 도움이 됩니다.

JWT 저장 방법 비교

JWT를 헤더에 저장하거나 쿠키에 저장할 수 있습니다.

1. HTTP 헤더를 통한 JWT 전송할 때, XSS 공격에 취약하지만 자동으로 쿠키를 전송하지 않기 때문에 CSRF 공격의 목표가 되지 않습니다.
   XSS 취약점 최소화, 콘텐츠 보안 정책 적용, 클라이언트 측에서 안전한 토큰 저장 및 관리가 필요합니다.
2. 쿠키를 통한 JWT 전송할 때, HTTPOnly 및 Secure 속성 사용 시 스크립트 접근 차단 가능하기 때문에 XSS 공격에 강합니다. 반대로 브라우저가 자동으로 쿠키를 전송하기 때문에 CSRF 공격 위험 이 존재합니다. CSRF 토큰 구현, HTTPOnly 및 Secure 속성 설정, SameSite 속성 설정으로 쿠키의 안전한 사용 보장 필요합니다.