cookie 속성은 전송 범위를 각각 줄인다
한 속성이 모든 공격을 막는 것이 아니라 HTTPS·script·cross-site·host 경계를 나눠 방어한다.
| 속성 | 제한 | 보호 대상 |
|---|---|---|
| Secure | HTTPS만 전송 | 평문 노출 |
| HttpOnly | script 읽기 제한 | token 직접 탈취 |
| SameSite | cross-site 전송 제한 | CSRF 표면 |
한 속성이 모든 공격을 막는 것이 아니라 HTTPS·script·cross-site·host 경계를 나눠 방어한다.
| 속성 | 제한 | 보호 대상 |
|---|---|---|
| Secure | HTTPS만 전송 | 평문 노출 |
| HttpOnly | script 읽기 제한 | token 직접 탈취 |
| SameSite | cross-site 전송 제한 | CSRF 표면 |