작성
·
327
2
쿠키관련해서 Secure, HttpOnly, SameSite에 대해서 질문드립니다.
위에 보안 용어들은 다 서버측에서 'setCookie'에 값으로 넣어주는거 아닌가요?
HttpOnly, SameSite는 XSS,XSRF 공격을 방지하기 위해서 존재하는걸로 배웠습니다.
XSS,XSRF는 사용자가 특정사이트 들어갈때 당할수 있는 공격인걸로 알고있는데,
그렇다면 HttpOnly와 SameSite같은 쿠키 보안설정은, '서버'측에서 '클라이언트'를 배려하기 위해서 만들어진건가요?
아니면, XSS,XSRF로 인해서, 고객정보가 탈취되면 그걸 악용해서 해커들이 서버를 공격할 수 있을까봐 그런건가요?..
질문 작성하면서 마지막에 적은 문구가 생각이 났네요..ㅋㅋ 결국 서버가 공격당할까봐 그런건가요?
답변 감사합니다.