XSS 취약점을 이용한 쿠키 탈취 예방(feat. php)

보안을 위해 쿠키에는 중요한 데이터를 포함하지 않는 것이 원칙입니다.

하지만 불가피하게 필요에 따라 중요한 정보가 담기는 경우가 있거나, 담긴 데이터를 보호해야할 때가 있습니다.

우리는 이럴 때 secure와 httpOnly를 사용해야 합니다.

 

 

 

httpOnly

- 브라우저와 서버간의 요청시에만 쿠키 전송

- document.cookie 명령어로 쿠키를 호출하는 것을 차단

 

 

secure

- 네트워크에서 통신 중 쿠키를 훔쳐가는 행위 차단

- https 필요

 

 

 

다수의 개발자가 php에서 쿠키를 저장할때 아래와 같이 사용합니다.

 

setcookie('name','value',time()+3600,'/','domain.com');

 

위의 경우 해커에게 쿠키를 탈취 당하기 쉽습니다.

그래서 우리는 이제 아래와 같이 해야 합니다.

 

setcookie('name','value',time()+3600,'/','domain.com',ture,ture);

 

6번째 매개변수는 secure를 사용여부를 설정 합니다. (default : false)

7번째 매개변수는 httponly를 사용여부를 설정 합니다. (default : false)

 

 

 

copyright 2019. 워크식스

워크식스