[Network] Cookie SameSite (browser cookie issue)

🍪 Chrome cookie issue

개발하던 웹 데모버전 배포일을 앞두고 총 테스트를 진행하는데, 갑자기 쿠키 전송이 안되서 엄청 당황했었다.

알고보니 2020년 02월 04일에 릴리즈된 구글 크롬 80버전부터 새로운 쿠키 정책이 적용되어 Cookie의 SameSite속성의 기본값이 None에서 Lax로 변경되서 그런거였다.

 

회사는 물론 고객사까지 거의 크롬을 사용하는데... 이걸 이제 알다니 😂

급하게 Edge로 테스트 하긴 했지만, 앞으로 다른 브라우저도 Chrome과 동일한 설정으로 기본값을 변경한다고하니 이제 쿠키 속성에 대해 신경써서 개발을 해야겠다.

💁‍♀️ SameSite란?

SameSite는 웹 응용 프로그램에서 CSRF공격을 방지 하기 위해 HTTP 쿠키에 설정할 수 있는 속성이다.

한마디로, 서로 다른 도메인간의 쿠키 전송에 대한 보안을 설정한다.

 

SameSite 속성은 3가지가 있다.

None : 모든 도메인에서 쿠키 전송이 가능하다.

Lax : 일부 예외(Http get method/ a href / link href)를 제외하고 서로 다른 도메인간 쿠키 전송이 불가능하다.

Strict : 서로 다른 도메인간 쿠키 전송이 불가능하다.

 

필자는 크롬을 사용해서 REST API를 POST 메소드로 호출했다.

API는 쿠키를 전송했지만, SameSite의 값이 없으면 Lax 속성이므로, 쿠키를 브라우저에 저장하지 못한다.

이번엔 같은 REST API를 GET 메소드로 호출했다.

정상적으로 쿠키를 저장해서 Request를 보내는 걸 확인할 수 있다.

 

참고사항

• SameSite cookie - MDN

 

---

🎉  피드백은 언제나 환영입니다. 🎉

---