Secure cookie

HTTPS 연결에서만 전송되도록 강제하는 쿠키 속성(Secure)

분야: 보안/인증 시리즈: 인증/인가 기본기 cookiehttpssecuritybrowser

Secure는 쿠키 속성으로, 해당 쿠키가 HTTPS 연결에서만 전송되게 강제합니다.

왜 필요한가요?

HTTP로 평문 전송되는 것을 막아 중간자 공격 위험을 줄입니다.
SameSite=None을 쓰려면 브라우저 정책상 Secure가 필수입니다.

예시

Set-Cookie: sid=...; Secure; HttpOnly; SameSite=None

같이 보면 좋은 문서

관련 문서

비밀번호/토큰을 무차별 대입으로 맞추려는 공격(로그인/OTP/리셋 링크)

Content-Security-Policy (CSP)

XSS를 줄이기 위해 ‘어떤 리소스를 어디서 로드해도 되는지’를 선언하는 보안 정책(HTTP 헤더)

브라우저가 서버에 자동으로 보내는 작은 상태 정보

인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격

브라우저에게 ‘앞으로는 무조건 HTTPS로만 접속하라’고 강제하는 보안 정책(Strict-Transport-Security)

브라우저 JS에서 쿠키를 읽지 못하게 막는 쿠키 속성(주로 세션 보호)