cookie attributes
쿠키 속성은 저장과 전송 범위를 좁힌다
쿠키 디버깅은 값만 보는 일이 아닙니다. 어느 호스트·경로·연결·사이트 관계에서 전송될 수 있는지를 속성별로 확인해야 합니다.
Domain/Path는 전송 범위를 제한한다
Expires/Max-Age는 수명을 정한다
Secure/HttpOnly/SameSite는 피해면을 줄인다
속성
질문
실무 판단
Domain
어느 호스트로 보낼 수 있는가?
생략하면 더 좁은 host-only 성격으로 동작합니다.
Path
어느 URL 경로에 붙일 것인가?
보안 경계가 아니라 전송 필터로 이해합니다.
Max-Age
얼마나 오래 유지할 것인가?
Expires보다 우선하는 상대 만료 시간입니다.
Secure
보안 연결에서만 보낼 것인가?
인증 쿠키는 HTTPS 전송 제한을 기본으로 둡니다.
HttpOnly
JS가 값을 읽을 수 있는가?
XSS 자체가 아니라 쿠키 탈취 피해를 줄입니다.
SameSite
크로스사이트 요청에도 보낼 것인가?
CSRF 방어층 중 하나이며 단독 방어가 아닙니다.
scope
좁게 시작
인증 쿠키는 불필요한 Domain을 피하고 Path도 필요한 범위만 둡니다.
lifetime
짧고 갱신 가능하게
만료 시간을 명확히 두고 서버 쪽 세션 만료와 함께 맞춥니다.
transport
전송 조건을 엄격하게
Secure, HttpOnly, SameSite를 조합해 브라우저의 기본 동작을 제한합니다.