[Day 99] HTTP Cookie 관련 보안 속성

httponly 속성

• "Set-Cookie 응답 헤더"에 설정하는 속성
• 클라이언트(웹 브라우저 등)에서 스크립트를 통해 해당 쿠키에 접근하는 것을 차단하여 세션 탈취 방지
• XSS 공격 대응책
• php.ini의 session.cookie_httponly = True (또는 1) 설정

secure 속성

• "Set-Cookie 응답 헤더"에 설정하는 속성
• 클라이언트(웹 브라우저 등)에서 HTTPS(SSL/TLS) 통신일 경우에만 해당 쿠키를 전송하고, HTTP 통신을 경우에는 전송하지 않음
• 전송구간 암호화를 통해 평문 쿠키 노출 방지
• php.ini의 session.cookie_secure= True (또는 1) 설정