secure cookie recipe
인증 쿠키는 값보다 경계를 먼저 설계한다
좋은 인증 쿠키는 긴 값을 자랑하는 쿠키가 아니라, 예측 어려운 식별자와 좁은 브라우저 전송 조건을 함께 가진 쿠키입니다.
__Host-로 host-only 성격을 강제한다
Secure/HttpOnly/SameSite를 조합한다
서버 검증이 최종 권한 판단이다
__Host-session
Domain을 두지 않는다
서브도메인까지 넓히지 않고 현재 호스트 경계에 가깝게 묶습니다.
Secure
보안 연결에서만 전송
인증 식별자가 평문 HTTP 요청에 실리는 일을 막는 기본 조건입니다.
HttpOnly
스크립트 접근 제한
XSS를 제거하지는 않지만 JS로 세션 ID를 읽어 가는 경로를 줄입니다.
SameSite=Lax
크로스사이트 자동 전송 축소
대부분의 일반 웹 앱에서 호환성과 CSRF 완화를 함께 고려한 출발점입니다.
Max-Age
수명을 명시
브라우저 쿠키 수명과 서버 세션 만료 정책을 함께 맞춥니다.
server check
권한은 서버가 판단
쿠키 속성은 보조 장치이고, 세션 만료·권한·폐기 상태는 서버가 확인합니다.