쿠키, Same Site 관련해 문의 드립니다.

Gyungsoo_Phyo · 2월 22, 2021, 8:49오전

안녕하세요.
서버와 쿠키를 주고받는 상황을 테스트하다가 막혀버려서 문의드립니다.

클라이언트와 서버가 도메인이 다른 상황입니다.
클라이언트가 서버로 요청했을때, 응답에 있는 Cookie를 읽어서 다음 요청에 사용하려고합니다.

조사를 해보니 Chrome 80버전 이후부터 SameSite 정책이 변경되어서 아래와 같이 설정했습니다.
Javascript(클라이언트), Axios

    axios.post("https://[SERVER_URL]", {}, {
      withCredentials: true,
    }),

Node.js(서버)

    res.cookie("test", "cookieTest", {
    httpOnly: false,
    sameSite: "none",
    secure: true,
  });

클라이언트/서버 모두 HTTPS 환경에서 동작하고 있습니다.

이런 상황에서 테스트를 했는데, 크롬의 개발자도구 Network 탭에 Response Cookies에는 서버에서 주는 Cookie가 확인이 되는데,
Cookie 스토리지에 저장되지도 않고, document.cookie로 읽으려고해도 값이 없습니다 ㅠㅠ

혹시 제가 놓친 사항이 있는지, 잘못 접근해서 테스트하고 있는 것인지 문의드립니다.

jacobkim9881 · 2월 25, 2021, 4:52오후

CSRF공격을 막으려면 sameSite를 lax로 해야 한답니다(SameSite cookies - HTTP | MDN).

Php나 자바스크립트는 한 서버에서 클라이언트와 백엔드가 모두 돌아가서 이런 문제가 없지만 프론트엔드와 백엔드 서버로 나뉘면서 이런 문제도 생각해야 하는 것 같습니다. res.cookie()는 말 그대로 서버에서 쿠키를 보내주는 것입니다. 클라이언트 서버에서 request한 후 response로 받는 쿠키를 저장해주어야 합니다. 쿠키를 저장하는 방법 링크입니다.
https://www.w3schools.com/js/js_cookies.asp