웹 브라우저의 쿠키(Cookie) 속성

• SameSite - 크로스 사이트 요청 보안을 위한 핵심 속성

  • Strict: 가장 엄격한 설정으로, 오직 같은 사이트의 요청에만 쿠키 전송

  • Lax: 기본값으로, 제한적인 크로스 사이트 요청(최상위 레벨 탐색, GET 요청)에만 쿠키 전송 허용

  • None: 모든 크로스 사이트 요청에 쿠키 전송 (반드시 Secure 속성과 함께 사용해야 함)

• Secure - 보안 연결에서만 쿠키 전송

  • HTTPS 프로토콜을 사용하는 요청에만 쿠키 전송 가능

  • 중간자 공격(MitM)으로부터 쿠키 데이터 보호

• HttpOnly - 클라이언트 측 스크립트 접근 제한

  • JavaScript(document.cookie)를 통한 쿠키 접근 방지

  • XSS(Cross-Site Scripting) 공격으로부터 세션 쿠키와 같은 민감한 정보 보호

• Domain - 쿠키 접근 가능 도메인 설정

  • 지정된 도메인 및 하위 도메인에서 쿠키 접근 가능

  • 미지정 시 현재 호스트에만 쿠키 적용 (하위 도메인 제외)

• Path - 쿠키 접근 가능 경로 설정

  • 지정된 경로와 하위 경로에서만 쿠키 접근 가능

  • 미지정 시 기본값은 현재 경로

• Expires/Max-Age - 쿠키 수명 관리

  • Expires: 특정 날짜/시간까지 쿠키 유지 (예: Expires=Wed, 21 Oct 2025 07:28:00 GMT)

  • Max-Age: 초 단위로 쿠키 유효 기간 설정 (예: Max-Age=86400는 24시간)

  • 두 속성 모두 없으면 세션 쿠키로 브라우저 종료 시 삭제됨

• Priority - 쿠키 우선순위 지정 (일부 브라우저에서 지원)

  • Low: 가장 낮은 우선순위, 공간 부족 시 먼저 삭제될 수 있음

  • Medium: 기본 우선순위

  • High: 가장 높은 우선순위, 공간 제약 시에도 보존됨

• Partitioned - 개인정보 보호를 위한 파티션 쿠키

  • CHIPS(Cookies Having Independent Partitioned State) 기술 구현

  • 제3자 컨텍스트에서 쿠키를 분리된 저장소에 보관하여 추적 방지

  • Partitioned 속성은 반드시 SameSite=None; Secure와 함께 사용