SameSite?
웹사이트에서는 일반적으로 광고, 콘텐츠 추천, 서드 파티 위젯, 소셜 임베드 및 다른 기능을 위한 외부 서비스를 통합합니다. 웹을 탐색할 때 이러한 외부 서비스가 브라우저에 쿠키를 저장한 후 개인화된 환경을 제공하거나 고객 참여도를 측정하기 위해 해당 쿠키에 접근할 수 있도록 합니다.
SameSite는 브라우저가 사이트간 요청을 통해 쿠키를 보내지 못하게 하여 정보 유출, CSRF 공격에 대해 보호하기 위해 사용합니다.
HTTP/1.1 302 Found
Location: https://www.google.com/?gws_rd=ssl
Cache-Control: private
Content-Type: text/html; charset=UTF-8
Date: Tue, 30 Mar 2021 04:11:55 GMT
Server: gws
Content-Length: 231
X-XSS-Protection: 0
X-Frame-Options: SAMEORIGIN
Set-Cookie: 1P_JAR=2021-03-30-04; expires=Thu, 29-Apr-2021 04:11:55 GMT; path=/; domain=.google.com; Secure; SameSite=none
Connection: close
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>302 Moved</TITLE></HEAD><BODY>
<H1>302 Moved</H1>
The document has moved
<A HREF="https://www.google.com/?gws_rd=ssl">here</A>.
</BODY></HTML>
SameSite는 3가지 속성을 가지고 있으며, 각 속성별 의미는 다음과 같습니다.
SameSite=Strict
서로 다른 도메인에 대해서 쿠키 전송 불가
SameSite=Lax
일부 예외를 제외하고 쿠키 전송 불가
SameSite=None; Secure;
서로 다른 도메인 및 동일 도메인 모두 쿠키 전송 가능
samesite=none으로 설정한 경우, secure 속성을 필수적으로 넣어줘야 함
※ Secure
HTTPS 프로토콜에서만 쿠키가 전송되도록 설정함
SameSite 속성을 통해 CSRF를 차단할 수 있지만 필요한 다른 사이트로의 이동(ex. 소셜미디어 등)도 차단할 수 있어 사이트별 상황에 맞도록 사용해야합니다.
요청 타입별 쿠키 전송 여부
[출처]
developers-kr.googleblog.com/2020/01/developers-get-ready-for-new.html
'Web' 카테고리의 다른 글
| OAuth 2.0 (1) | 2021.03.31 |
|---|---|
| marquee onstart xss & XSS 기법 (0) | 2019.05.10 |
| 주요 Editor 샘플페이지 및 취약점 발생경로 (4) | 2018.12.03 |
| xp_cmdshell 활성화 쿼리 (1) | 2018.10.01 |
| MSSQL Limit 기능 구현 (0) | 2018.10.01 |