[Nodejs-cookie] 쿠키 보안 - Secure와 HttpOnly

[생활코딩] 쿠키 옵션 - Secure & HttpOnly

 

 

Secure

- 웹브라우저와 웹서버가 HTTPS를 통신할 경우에만 쿠키를 전송

 

Secure 사용하기

 

response.writeHead(200, {
        'Set-Cookie':[
        'yummy_cookie=choco', 
        'tasty_cookie=strawberry',
        `Permanent=cookies; Max-Age=${60*60*24*30}`,
        'Secure=Secure; Secure'
     ]
});

 

이 상태에서 http로 접속했을 때

Request Headers의 Cookie값에 Secure가 없음

 

 

 

 

HttpOnly

- 웹브라우저와 웹서버가 통신할 때만 쿠키를 발송함

- 자바스크립트로 접속하면 HttpOnly로된 값은 출력 안됨

 

HttpOnly 사용하기

 

response.writeHead(200, {
        'Set-Cookie':[
        'yummy_cookie=choco', 
        'tasty_cookie=strawberry',
        `Permanent=cookies; Max-Age=${60*60*24*30}`,
        'Secure=Secure; Secure',
        'HttpOnly=HttpOnly; HttpOnly'
    ]
});

 

이 상태에서 접속하면 HttpOnly의 값은 나옴

하지만 자바스크립트(document.cookie)로 빼내려하면 안나옴