세션 & 인증 7. 수업을 마치며

현재 http를 이용해서 웹서버와 브라우저가 통신하고있다.

http로 통신을 하고 있다는 것은 누군가 통신 내용을 보고있다고 말할 수 있다.

세션 id를 도둑맡는다면 누군가가 우리 대신 로그인 할 수 있다.

 

그래서 https 를 이용해서 통신을 해야한다.

secure을 true로 설정하면 https에서만 세션정보를 주고받도록 처리할 수 있다.

 

 

 

사용자가 전송한 데이터에 자바스크립트가 포함돼 있고 

그 자바스크립트가 활성화 될 수 있는 상태라면 사용자는 자바스크립트를 이용해서

세션, 쿠키 아이디를 탈취해 공격자에게 전송할 수 있다.

이를 막기 위해선 사용자가 전송한 데이터에서 자바스크립트를 사용할 수 없도록 하는것이 필요하다.

HttpOnly 를 true로 설정하면 자바스크립트를 통해서 세션쿠키를 사용할 수 없도록 강제할 수 있다.