SameSite 쿠키 정책

구글 크롬(Chrome) 80버전부터 SameSite 정책이 시행되었습니다.

 

개발자 도구를 열어보면 다른 리소스(루트도메인이 다른경우)로부터 전달받는 쿠키를 앞으로는 사용할 수 없다고 안내합니다.

A cookie associated with a cross-site resource at http://daum.net/ was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

 

SameSite=None인 경우와 Secure쿠키인 경우는 타 리소스여도 처리가능합니다.

 

같은 회사에서 운영하는 다른 도메인의 경우 Secure로 했을때 별다른 보안문제가 없기 때문에 Secure로 설정하면 될것으로 보입니다.

반면에, 네이버는 블로그의 다른 도메인을 종료하기로? 결정했습니다.

(관련 공지 : https://blog.naver.com/blogpeople/221788926430)

 

 

구글이 잠재적으로 보안위협이 될 수 있는 부분의 표준을 손보는것으로 많은 회사가 앞으로 따라갈 정책으로 보입니다.

표준기술중에 보안문제가 많은 기술들이 아직도 많습니다..

 

SameSite 쿠키 정책

값	설명
Strict	쿠키를 사이트 간에 사용할 수 없게 차단합니다. 다른 도메인에서 접근이 불가하므로 보안이 필요한 사이트에서 사용가능합니다. 사용 예시) 은행, 포털사이트 등 암호화된 개인정보 처리시
Lax	읽기모드 : 타 도메인에서는 읽을수만 있음 (크롬 80이상 기본 값)
None	기존과 동일합니다.

 

chrome://flags/ 에서 samesite 검색결과

제 크롬 브라우저는 83버전으로 기본값으로 설정되어있습니다.

 

SameSite 쿠키 설정방법 (개발자)

document.cookie = "hi098123Cookie1=1; SameSite=None; Secure";
//SameSite=None : Secure 필수(https)

document.cookie = "hi098123Cookie2=2; SameSite=Lax";

document.cookie = "hi098123Cookie3=3; SameSite=Strict";

별건없습니다.

그냥 쿠키사용과 똑같은데 SameSite만 더 넣어주면 됩니다.

 

위의 예시는 자바스크립트로 코드를 설명하였으나,

쿠키 설정방법은 모든언어에서 비슷하므로 예는 한가지만 들어도 될것 같습니다.

 

주의 : 쿠키에서 Secure은 https가 필수입니다.