🍪High
쿠키 보안 속성 설정 가이드
MyCompass 보안 가이드 · mycompass.kr/guide/cookie-security
쿠키는 세션 토큰, 인증 정보를 담고 있어 공격자의 주요 목표입니다. 3가지 속성을 반드시 설정해야 합니다.
HttpOnly
JavaScript에서 document.cookie로 쿠키를 읽지 못하게 차단. XSS 공격으로 쿠키 탈취 방지.
Set-Cookie: session=abc; HttpOnly
Secure
HTTPS 연결에서만 쿠키를 전송. HTTP 평문 전송 시 쿠키 노출 방지.
Set-Cookie: session=abc; Secure
SameSite=Strict
다른 사이트에서의 요청에 쿠키를 포함하지 않음. CSRF 공격 방어.
Set-Cookie: session=abc; SameSite=Strict
✨ AI 수정 프롬프트 (Next.js)
Next.js에서 세션/인증 쿠키를 설정할 때 다음 속성을 모두 포함해줘:
cookies().set('token', value, {
httpOnly: true,
secure: process.env.NODE_ENV === 'production',
sameSite: 'strict',
maxAge: 60 * 60 * 2, // 2시간
path: '/',
})