Cookie 보안 정책

Posted Sep 16, 2024

By Gyun

9 min read

🎬 Intro

쿠키 보안 정책에 대해 알아보겠습니다.

✅ SameSite

Samesite 은 쿠키가 동일 도메인(same-site) 요청에서만 전송될지, 아니면 다른 도메인 간 요청에서도 전송될지 설정하는 속성입니다. Public Suffix + 한 단계 하위 도메인이 같다면, 동일 도메인으로 간주합니다.

Public Suffix 는 .com .net .org 등 TLD(Top-Level-Domain)을 포함하고 github.io 같은 2차 도메인까지 포함될 수 있습니다.

도메인 예시

example.com / sub.example.com
- 두 도메인이 모두 example.com을 포함하므로 동일 도메인
service.co.uk / app.service.co.uk
- 두 도메인이 service.co.uk를 공유하므로 동일 도메인
example.com / example.net
- 서로 다른 TLD (.com과 .net)를 사용하므로 다른 도메인
service.co.kr / service.co.uk
- 서로 다른 2차 도메인(.co.kr과 .co.uk)을 사용하므로 다른 도메인

SameSite = “Strict”

같은 도메인에서만 쿠키가 전송됩니다. 즉, 사용자가 다른 도메인에서 해당 사이트로 리디렉션되거나 링크를 클릭하더라도 쿠키는 전송되지 않습니다. 이는 CSRF와 같은 보안 위협을 완전히 차단하기 위해 설계되었습니다.

SameSite = “Lax”

다른 도메인도 가능하지만 GET 요청 또는 하이퍼링크를 통해서만 쿠키가 전송됩니다. GET 요청의 경우 서버자원의 바꾸지않는 멱등성 때문에 안전하다고 판단하여 쿠키 전송을 허용하는것이고, 하이퍼링크는 무조건 GET요청만 가능하기 때문에 허용하는것 입니다.

SameSite = “None”

모든 도메인 간 쿠키 전송을 허용하는 설정입니다. 즉, 다른 도메인에서 온 모든 요청에 대해 쿠키가 전송됩니다. 그러나 쿠키에 Secure=true 속성이 반드시 설정되어야만 적용되기 때문에 HTTPS 연결에서만 전송 가능합니다.

✅ Secure

Secure = false

도메인간 HTTP, HTTPS 상관없이 쿠키가 전송 됩니다.

Secure = true

도메인간 HTTPS인 경우에만 쿠키가 전송 됩니다.

✅ localhost와 IP주소에 대한 쿠키 보안 정책

localhost와 IP 주소의 경우는 보안정책이 느슨해질 수 있습니다. 그 이유는 대부분의 브라우저가 localhost에 대해 HTTPS가 아닌 HTTP에서도 보안 기능을 허용하기 때문입니다. 로컬 개발 환경에서는 보통 HTTP 프로토콜을 사용하지만, localhost에서는 많은 보안 기능이 작동하는데, 이것은 브라우저가 localhost를 안전한 환경으로 간주하기 때문입니다. 예를 들어 Secure = true인 쿠키도 http localhost에서 받을 수 있고, SameSite = strict 여도 localhost에서 쿠키를 전송 받을 수 있습니다.

예시

클라이언트(http://localhost:5173) 에서 소셜 로그인 완료 시 쿠키를 받는 상황입니다. 이때 리다이렉트 uri 를 http://#.##.###.##:8080/login/oauth2/code/kakao 처럼 서버 자체 ip로 설정한 경우와 https://forecast-test.shop/login/oauth2/code/kakao 처럼 DNS로 설정한 경우 쿠키가 어디로 전송되는지 알아보겠습니다.

http://#.##.###.##:8080/login/oauth2/code/kakao
- domain 설정 x, samesite = lax, secure = false: #.##.###.## 주소에 jwt 토큰 쿠키 저장
- domain 설정 x, samesite = none, secure = true: #.##.###.## 주소에 jwt 토큰 쿠키 저장
https://forecast-test.shop/login/oauth2/code/kakao
- domain 설정 x, samesite = lax, secure = false: http localhost에 jwt 토큰 쿠키 저장
- domain 설정 x, samesite = lax, secure = true: http localhost에 jwt 토큰 쿠키 저장
- domain 설정 x, samesite = none, secure = true: http localhost에 jwt 토큰 쿠키 저장

이 처럼 리다이렉트 uri 가 명시적인 ip 인 경우와 dns인 경우 쿠키가 전송되는 곳이 각각 다른이유는 다음과 같습니다.

쿠키에 domain 설정을 하지 않는다면 기본적으로 동일한 도메인에 쿠키를 전송하게 됩니다.
이때 만약 도메인이 명시적 ip주소라면 해당 ip주소 도메인에 쿠키가 전송되고, 도메인이 dns라면 요청을 보낸 클라이언트의 localhost에 쿠키가 전송되게 됩니다.
이는 domain 설정이 되어 있지 않고 요청이 클라이언트 localhost라면 브라우저는 로컬 환경에서 개발자가 쉽게 작업할 수 있도록 브라우저 보안정책을 완화하게 됩니다.
따라서 dns 도메인에서도 쿠키가 원래는 해당 도메인에 저장되어야 하지만, 로컬 개발 환경에서는 브라우저가 더 느슨한 보안 정책을 적용하기 때문에 localhost로 쿠키가 전송되게 됩니다.
그러므로 실제 배포시에 클라이언트와 서버 도메인이 다를경우 반드시 서버쪽에서 쿠키를 생성할때 domain 설정을 클라이언트 도메인으로 해주어야 합니다.

✨ Summary

SameSite

Strict
- 동일한 도메인에서만 쿠키 전송
- CSRF 방어에 효과적
Lax
- 다른 도메인에서도 쿠키 전송 가능
- 단 GET요청 또는 하이퍼링크를 통해서만 가능(하이퍼링크는 무조건 GET요청이므로)
None
- 모든 도메인간 쿠키 전송 가능
- 단 Secure = true 가 강제됨

Secure

Secure = false
- HTTP 및 HTTPS 모두에서 쿠키 전송 가능
Secure = true
- HTTPS 통신에서만 쿠키 전송

로컬 환경에서의 보안 완화

localhost에서는 브라우저가 보안 정책을 느슨하게 적용함. 예를 들어, Secure = true 쿠키도 HTTP 환경에 허용되며, 다른 도메인이더라도 SameSite = strict 에서도 쿠기가 전송 될 수 있음
로컬 환경에서는 쿠키 저장이 기본적으로 localhost에 이루어질 수 있음. 도메인이 명시되지 않으면 브라우저는 로컬 개발 환경에서 쿠키 저장 위치를 localhost로 처리할 수 있음

소셜 로그인 리다이렉트 URI에 따른 쿠키 저장 위치

IP 기반 리다이렉트 URI은 해당 IP 주소 도메인에 저장됨
DNS 기반 리다이렉트 URI는 개발 환경에서는 쿠키가 localhost에 저장될 수 있음. 이는 브라우저가 개발 편의를 위해 보안 정책을 완화한 결과

도메인 설정의 중요성

실제 배포 환경에서는 서버에서 쿠키를 생성할 때 반드시 도메인 설정을 명확히 해야 함. 도메인을 명시하지 않으면 쿠키가 전송이 안될 수 있음

ETC, Cookie

쿠키 보안 정책

This post is licensed under CC BY 4.0 by the author.