HTTP는 그 자체로 상태 비저장 프로토콜입니다. 따라서 서버는 어떤 클라이언트가 어떤 요청을 수행하는지, 어떤 클라이언트가 인증되었는지 또는 인증되지 않았는지 확인할 수 없습니다.
헤더 내에서 HTTP 쿠키를 사용하면 웹 서버가 각 개별 클라이언트를 식별할 수 있으므로 유효한 인증을 보유한 클라이언트와 그렇지 않은 클라이언트를 결정할 수 있습니다. 이를 세션 쿠키라고 합니다.
쿠키가 서버에 의해 설정되면(HTTP 응답의 헤더가 전송됨) 쿠키의 속성과 브라우저에서 쿠키를 처리하는 방법을 구성하기 위해 설정할 수 있는 몇 가지 플래그가 있습니다.
이러한 플래그 중 하나를 보안 플래그라고 합니다. 보안 플래그가 설정되면 브라우저는 일반 텍스트 채널(HTTP)을 통해 전송되는 것을 방지하고 암호화된 채널(HTTPS)이 사용될 때만 전송되도록 허용합니다.
'보안 > 취약점' 카테고리의 다른 글
| HTML object (0) | 2022.04.26 |
|---|---|
| Allowed HTTP methods (0) | 2022.04.22 |
| Private IP address disclosure (0) | 2022.04.22 |
| Missing 'X-Frame-Options' header (0) | 2022.04.22 |
| Spring 라이브러리 보안 취약점 (0) | 2022.04.11 |