SameSite

쿠키가 ‘다른 사이트에서 시작된 요청’에 포함될지 결정하는 쿠키 속성

분야: 보안/인증 시리즈: 인증/인가 기본기 cookiecsrfbrowsersecurity

SameSiteSet-Cookie의 속성으로, 쿠키가 크로스 사이트 요청(cross-site request) 에 포함될지 결정합니다. CSRF 위험을 줄이는 데 큰 역할을 합니다.

  • SameSite=Strict: 가장 보수적. 거의 같은 사이트에서만 전송.
  • SameSite=Lax: 기본값으로 많이 사용. 일반적인 로그인 세션에 자주 적합.
  • SameSite=None: 크로스 사이트에도 전송. 이 경우 반드시 Secure가 필요합니다.

실무 포인트

  • “서브도메인”과 “크로스 사이트”는 다릅니다. 정확한 origin/사이트 범위를 먼저 확인합니다.
  • OAuth/OIDC, 임베드, 서드파티 호출 구조에서는 None이 필요할 수 있습니다.

같이 보면 좋은 문서

관련 문서

Brute force
비밀번호/토큰을 무차별 대입으로 맞추려는 공격(로그인/OTP/리셋 링크)
Content-Security-Policy (CSP)
XSS를 줄이기 위해 ‘어떤 리소스를 어디서 로드해도 되는지’를 선언하는 보안 정책(HTTP 헤더)
Cookie
브라우저가 서버에 자동으로 보내는 작은 상태 정보
CSRF
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격
HSTS
브라우저에게 ‘앞으로는 무조건 HTTPS로만 접속하라’고 강제하는 보안 정책(Strict-Transport-Security)
HttpOnly
브라우저 JS에서 쿠키를 읽지 못하게 막는 쿠키 속성(주로 세션 보호)