쿠키… 네트워킹 처리의 고민

• 프론트 A: http://192.168.123.123/

• 프론트 B: http://192.168.123.123/ai

• 백엔드 API: http://192.168.123.123:9100

• SameSite 설정 문제인가?

• Path/Domain 설정이 꼬인 건가?

왜 프론트 B에서는 쿠키가 안 찍혔을까?

• http://192.168.123.123 (포트 80)

• http://192.168.123.123:9100 (포트 9100)

CORS + Set-Cookie + credentials

Fetch API나 XHR 요청이 CORS를 사용할 때,

요청에 credentials가 포함되지 않으면 응답의 Set-Cookie 헤더는 브라우저에서 무시된다.

• 프론트 A
• 로그인 요청을 보낼 때 이미 credentials: "include"를 사용하고 있음
• 그래서 응답의 Set-Cookie가 정상적으로 브라우저에 저장됨.

• 프론트 B
• 대략 이런 식으로 요청을 보내고 있었다고 볼 수 있음:
• 기본값인 credentials: "same-origin"에서는
192.168.123.123 (80) → 192.168.123.123:9100 요청이 cross-origin이기 때문에,
• 브라우저가 응답의 Set-Cookie 헤더를 그냥 무시해 버린다.

프론트 A는 credentials를 포함해서 요청을 보내 쿠키가 잘 저장됐고, 프론트 B는 credentials를 빼먹어서, Set-Cookie가 와도 브라우저가 무시해 버렸다.

• CORS가 정확히 뭘 기준으로 동작하는지,

• credentials: "include" / "same-origin" / "omit"이 어떻게 다른지,

• 쿠키의 SameSite, Domain, Path 설정이 여기에 어떻게 얽히는지

CORS는 뭘 기준으로 동작하고 뭘까?

origin = scheme + host + port

• http://192.168.0.60 → origin: http + 192.168.0.60 + 80

• http://192.168.0.60:9100 → origin: http + 192.168.0.60 + 9100

• https://www.naver.com → origin: https + www.naver.com + 443

브라우저가 입장에서 CORS는 “보안 필터”

• same-origin 요청
• “내 사이트 안에서 자기 서버랑 통신”이므로 비교적 자유롭게 허용

• cross-origin 요청
• “다른 사이트 서버랑 통신”이기 때문에 서버가 명시적으로 허용하지 않으면, JS에서 응답을 읽지 못하게 막음

CORS는 “요청을 막는 장치”라기보다,

“응답을 JS에게 넘길지 말지 결정하는 장치”에 가깝다.

1. 브라우저가 fetch로 cross-origin 요청을 보냄

2. 요청은 서버까지 실제로 감

3. 서버가 응답을 돌려줌

4. 응답 헤더에 Access-Control-Allow-Origin 등 CORS 허용 헤더가 없음

5. 브라우저가 네트워크 레벨에서는 응답을 받았지만, JS 코드에 응답을 넘겨주지 않고 차단

6. 콘솔에 CORS 에러가 출력됨

참고로, Content-Type이 특정 조건을 벗어나거나, 커스텀 헤더를 쓰는 등 preflight(OPTIONS) 조건을 만족하면 브라우저가 먼저 OPTIONS 요청을 보내서 서버가 허용하는지 확인하고, 이 단계에서 허용되지 않으면 아예 본 요청 자체를 보내지 않는 경우도 있습니다.

그럼 누군가 응답을 하이재킹할 수 있는거 아니야?

1. 네트워크 공격자

• HTTP 통신은 그대로 볼 수 있고, 조작도 가능합니다.

• 이건 CORS 유무와 관계가 없습니다.

• HTTPS(TLS) 로 트래픽을 암호화하는 것

• CORS가 아니라 TLS/인증서의 영역입니다.

“응답을 누군가 하이재킹할 수 있냐?” → 네트워크가 HTTP고, 공격자가 트래픽을 볼 수 있다면 CORS와 상관없이 원래부터 가능 → 이건 CORS 문제가 아니라 TLS(HTTPS)를 써야 하는 보안 이슈입니다.

2. 악성 웹사이트 / 다른 origin의 JS

• 악성 사이트 evil.com이 사용자의 브라우저에서 JS를 실행하면서
• https://bank.com/account 같은 민감한 API에 요청을 보내고
• 응답을 읽어서 계좌 정보, 개인 정보를 훔치는 시나리오

• 요청 자체는 어느 정도 갈 수 있어도,

• 응답 바디/일부 헤더를 JS가 읽지 못하게 막는다.

• 요청이 성공했는지, 응답 내용이 뭔지, 계좌 정보가 뭔지 직접 읽을 수 없습니다.

• 최소한 데이터 유출은 막을 수 있게 됩니다.

CORS는 “네트워크 상의 패킷을 가로채는 공격”을 막는 게 아니라,

악성 웹페이지의 JS가 다른 origin의 민감한 응답을 읽어서 악용하는 것을 막는

브라우저 레벨의 보호 장치라고 볼 수 있습니다.

Credentials 옵션은 어떻게 쓸 수 있을까?

• 쿠키(Cookie)

• TLS 클라이언트 인증서

• Authorization 같은 인증 헤더

참고로 기본값은 "same-origin" 입니다. (예전에는 브라우저별로 차이가 있었지만, 지금은 스펙/MDN 기준으로 기본값이 same-origin으로 정리되어 있습니다.)

1. “omit” - “무자격” 요청

동작

• 요청 보낼 때
• 어떤 origin이든 쿠키, 세션, 인증 헤더를 전혀 보내지 않음

• 응답 받을 때
• 서버에서 Set-Cookie를 내려줘도 브라우저가 무시함

언제 쓸까?

• 완전 비공개 리소스를 가져올 때
• 공개 이미지 CDN, 공개 문서 JSON 등

2. “same-origin” - “내 출처에만 인증 허용”

동작

• 요청 보낼 때
• 요청 URL의 origin이 현재 페이지의 origin과 같다면 → 쿠키 / 세션 / 인증 헤더를 보냄
• origin이 다르면 (CORS 상황) → 쿠키 안 보냄

• 응답 받을 때
• same-origin이면 응답의 Set-Cookie를 반영
• cross-origin이면 응답의 Set-Cookie를 무시

3. “include” - “origin 상관없이 인증까지”

동작

• 요청 보낼 때
• same-origin이든 cross-origin이든 쿠키 / 인증 정보를 포함해서 보냄

• 응답 받을 때
• 서버가 CORS를 올바르게 설정했다면 (Access-Control-Allow-Origin/Access-Control-Allow-Credentials) → cross-origin 응답의 Set-Cookie도 저장함

쿠키가 전송되기 까지

1. 만료가 안 됐나?
• Expires / Max-Age 기준으로 이미 만료된 쿠키는 후보에서 제외

2. Domain이 매칭되는가?
• 요청 호스트가 Domain 속성에 해당하는지
• Domain 미지정이면 쿠키를 만든 호스트와 정확히 같아야 함 (host-only cookie)

3. Path가 매칭되는가?
• 요청 경로가 Path로 시작하는지(프리픽스 매칭)

4. Secure인데 HTTPS 요청인가?
• Secure 쿠키는 HTTPS 요청에만 전송

5. SameSite 규칙에 맞는 컨텍스트인가?
• “현재 탑레벨 사이트”와 “요청 URL의 사이트”를 비교해서 Strict / Lax / None 규칙에 맞는지 확인

6. credentials 설정이 쿠키 허용 모드인가?
• credentials: "omit" → 아예 안 씀
• same-origin → cross-origin이면 안 씀
• include → cross-origin에도 “보낼 자격이 있는 쿠키들”을 전부 시도

1. Domain - “어느 호스트/서브도메인까지 이 쿠키를 보낼까?”

Domain을 지정하지 않는 경우

• 쿠키를 만든 호스트(예: www.bank.com)에서만 전송

• api.bank.com, server.bank.com 같은 서브도메인에는 전송되지 않음

• www.bank.com에서 Domain 없이 설정한 쿠키 → 오직 www.bank.com으로의 요청에만 전송

Domain을 지정한 경우

• Domain=.bank.com이면:
• bank.com
• www.bank.com
• api.bank.com
• server.bank.com
• … 모두 전송 대상

언제 어떻게 사용할까?

• 가능하면 Domain을 지정하지 않고(host-only) 필요한 호스트에서만 쓰는 걸 추천

• 여러 서브도메인(api.bank.com, web.bank.com 등)에서 같이 써야 하는 세션이라면 그때만 Domain=.bank.com 같이 범위를 넓히는 편이 안전

2. Path - “그 도메인 안에서 어느 URL 경로까지 보낼까?”

• /shop

• /shop/

• /shop/product/1

• /shop/cart

• /

• /admin

• /profile

• 서비스 전역에서 필요한 세션/로그인 쿠키 → 보통 Path=/

• 특정 기능에서만 필요한 쿠키 → 해당 기능의 경로로 제한 (/shop, /admin, /upload 등)

3. SameSite - “같은 사이트가 아닐 때, 이 쿠키를 보낼까 말까”

• SameSite=Strict

• SameSite=Lax

• SameSite=None (→ 반드시 Secure와 함께)

“site”의 기준이 뭘까?

• https://bank.com ↔ https://server.bank.com
• 도메인 계열이 같고, 둘 다 https → 같은 사이트

• https://bank.com ↔ https://evil.com
• 도메인 다름 → 다른 사이트

• http://bank.com ↔ https://bank.com
• scheme 다름 → “schemeful same-site” 기준에서는 다른 사이트

SameSite=Strict

• 같은 사이트에서의 요청에만 쿠키 전송

• 다른 사이트에서 오는 어떤 요청에도 쿠키가 붙지 않음
• 예: 다른 도메인에서 <img src="https://bank.com/...">로 요청해도 쿠키 X
• 다른 사이트의 <form>이 https://bank.com/transfer로 POST를 날려도 쿠키 X

SameSite=Lax

• same-site 요청 → 평소처럼 쿠키 전송

• 다른 사이트에서 오는 “일반적인 서브 요청” (이미지, XHR, fetch 등) → 쿠키 전송 안 함

• 다른 사이트에서의 “탑레벨 GET 이동” (링크 클릭 등) → 제한적으로 쿠키를 전송

• 링크를 클릭해서 https://bank.com으로 이동하는 정도의 흐름에서는 세션이 유지되지만,

• 다른 사이트에서 백그라운드 요청(XHR/fetch)으로 내 API를 때리는 시나리오에서는 쿠키가 붙지 않도록 막아 줍니다.

SameSite=None; Secure

“이 쿠키를 cross-site 요청에도 보내도 괜찮다”

• 브라우저가 이 쿠키를 아예 무시하고 설정하지 않음(Invalid 포맷으로 취급)

• HTTPS 환경에서만 쓸 수 있는 cross-site 쿠키 모드

언제 어떻게 써야할까?

• 민감한 세션 쿠키
• 가능하면 SameSite=Lax 또는 Strict
• None은 정말 cross-site가 필수인 경우(SSO, 일부 위젯 등)에만 사용

• 제3자 서비스, SSO, iframe 등에 필요한 쿠키
• 다른 사이트에 embed되거나, 여러 도메인을 넘나드는 인증 흐름이 필수라면 → SameSite=None; Secure

• On-prem HTTP(비 SSL) 환경
• SameSite=None을 쓰려면 무조건 Secure 필요 → HTTP에서는 브라우저가 아예 무시하기 때문에 사실상 사용 불가
• 이 상태에서 HTTP + 포트만 다른 서버로 cross-origin + 쿠키 조합을 쓰려고 하면,
• SameSite
• Secure
• CORS
• credentials