메서드와 전송 위치 구분
GET은 Query String 노출 위험, POST는 Body 중심 전송이지만 암호화를 의미하지 않습니다.
GET / POST / Body
HTTP 요청에서 세션 보안까지
웹 보안은 요청·응답 구조, 무상태성 보완, 쿠키·세션 보호, HTTPS 한계를 함께 봐야 합니다.
상태코드와 오류 메시지
401, 403, 404, 500의 의미를 구분하고 상세 오류 노출을 줄여야 합니다.
상태라인 + 헤더 + Body
무상태성을 쿠키로 보완
쿠키가 세션 식별자를 들고 다니므로 HttpOnly, Secure, SameSite와 만료 시간을 함께 설정합니다.
Set-Cookie, Session ID
HTTPS와 보안 헤더
HTTPS는 통신 보호를 제공하지만 SQL Injection, XSS, 인가 오류는 별도 대응이 필요합니다.
HSTS, CSP, X-Frame-Options
민감정보URL, 로그, Referer에 남지 않도록 전송 위치와 암호화를
확인합니다.
쿠키 속성HttpOnly는 스크립트 접근 완화, Secure는 HTTPS 전송
제한입니다.
HTTPS 한계암호화만으로 애플리케이션 로직 취약점이 사라지지 않습니다.
HTTP 보안 문제는 요청과 응답의 위치를 찾은 뒤 쿠키·세션 보호와 애플리케이션 취약점 대응을 분리해 써야 합니다.