rfc62652 Cookie SameSite Lax 모드 업데이트 정리 SameSite Lax 는 top-level navigations, 그리고 safe HTTP method 일 경우에만 제한적으로 cross-site 상황에서 쿠키 생성 및 전달을 허용 한다. 혹시 이 얘기가 어렵다면 SameSite 기본편을 보고 오면 좋을거 같다. RFC6265 정책 결정자들은 실제로 브라우저에 SameSite 정책을 적용해보니 Lax 모드를 전체적으로 적용하기 어렵다는것을 깨닫고 기존 Lax 스펙을 일부 수정했다. Lax-Allowing-Unsafe 가 새롭게 생겼는데 HTTP 요청 메서드와 상관없이 top-level request 일때 일때 cross-site 상황에서 쿠키 생성 및 전달이 가능해진다. 예를 들어 로그인 로직 플로우에서 cross-site top-level POST .. 2021. 4. 8. Cookie SameSite 기본편 쿠키는 stateless(상태 정보를 유지하지 않는) HTTP protocol 에서 stateful 하게 사용할 수 있게 해주는 수단이다. 먼저 쿠키의 기본 성질에 대해서 알아보자. 1. 서버에서 응답 헤더로 아래와 같은 Set-Cookie 헤더를 보내주면 이후 요청마다 브라우저가 헤더에 쿠키 정보를 같이 전송해준다. 2. admin.ybs.com 도메인으로 쿠키를 만들었을 때, 브라우저는 하위 도메인 요청에도 쿠키를 같이 전달한다. SameSite SameSite 탄생 배경 Set-Cookie: ybs=1234; Path=/; Domain= admin.ybs.com; SameSite=Strict 위와 같이 쿠키에 SameSite 속성이 새롭게 추가 되었다. 사실 새롭다고 하기는 뭐한게 2016년에 dr.. 2021. 2. 5. 이전 1 다음
