쿠키(Cookie)를 간단하게 정의하면 클라이언트 개개인의 상태 정보를 담고 있는 데이터이다. 쿠키에 있는 정보를 해킹 당하게 된다면 자신의 개인 정보를 도난당하는 것이기 때문에 심각한 피해를 입을 수 있다. 이런 중요한 정보를 보호하기 위해서 어떤 보안 설정 방법이 있는지 알아보자.
1. HttpOnly
서버에서는 Set-Cookie 응답 헤더를 이용하여 쿠키를 설정하는데, 이 설정을 Set-Cookie에 추가하게 되면 클라이언트의 환경(웹 브라우저)에서 스크립트(Java 등)로 쿠키에 접근하는 것을 차단할 수 있다. 이 설정을 함으로써 XSS(Cross Site Script)공격에 대응이 가능하다.
2. Secure
이 설정 역시 Set-Cookie 응답 헤더에서 설정한다. 클라이언트의 환경(웹 브라우저)에서 HTTPS(SSL/TLS) 통신일 때만 쿠키를 전송하는 방식이다. HTTP를 이용한다면 쿠키를 전송하지 않는다.
즉, 평문으로 쿠키를 전송하지 않기 때문에 기밀성이 보장되는 방법이다.
3. HttpOnly 및 Secure 속성 설정 방법
1) Servlet 3.0 환경 : web.xml 파일에 아래 내용 추가
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config> ... 생략 = cookie.setHttpOnly(true)
2) 제우스(JEUS) : WEBMain.xml 이나 jeus-web-dd.xml에서 설정
<session-config>
<secure>true</secure>
<http-only>true</http-only>
</session-config>
3) JBoss
<Context cookies="true" crossContext="true">
<SessionCookie secure="true" httpOnly="true">
'어플리케이션보안' 카테고리의 다른 글
| 롯데카드 해킹 사건: 8년 묵은 취약점이 부른 재앙, 그리고 보안의 어두운 면 (0) | 2025.09.23 |
|---|---|
| 롯데카드 해킹의 황당한 원인은 업데이트. 기본만 지켰어도..... (0) | 2025.09.19 |
| CSRF 공격이란? 그리고 CSRF 방어 방법 (0) | 2020.12.02 |
| ECDHE, 왜 패킷을 보여주지 않는거야 (0) | 2020.10.29 |