0. 사전 지식

1. **XSS (Cross-Site Scripting)**는 웹 애플리케이션에서 사용자가 제공한 데이터를 검증 없이 출력할 때 발생하는 보안 취약점입니다. 공격자는 악성 스크립트를 웹 페이지에 삽입하여 사용자의 브라우저에서 실행되게 만듭니다. 이 스크립트는 종종 사용자 정보(예: 로그인 정보, 세션 쿠키 등)를 훔치거나 악성 작업을 수행하는 데 사용됩니다. 예를 들어, 공격자가 악성 JavaScript 코드를 삽입해 사용자의 쿠키 정보를 탈취하는 방식입니다.

2. **CSRF (Cross-Site Request Forgery)**는 사용자가 인증된 상태에서 의도하지 않은 요청을 서버에 보내게 만드는 공격입니다. 예를 들어, 사용자가 로그인한 상태에서 공격자가 악성 웹사이트를 만들어 그 웹사이트에서 특정 요청을 보내게 하는 방식입니다. 이 요청은 사용자 인증 정보를 포함하고 있기 때문에 서버는 이를 정상적인 요청으로 처리하게 되며, 사용자는 그 요청을 실행한 사실을 인지하지 못합니다. CSRF는 주로 사용자가 로그인한 상태에서 발생하며, 중요한 데이터나 동작을 악용할 수 있습니다.

3. SameSite는 쿠키의 속성 중 하나로, 쿠키가 다른 사이트에서 보낸 요청에 포함되지 않도록 설정하는 기능입니다. 이는 CSRF 공격을 방어하는 데 사용됩니다. SameSite 속성에는 세 가지 값이 있습니다:

• Strict: 쿠키는 동일한 사이트에서 온 요청에만 포함됩니다. 즉, 다른 사이트에서 보낸 요청에는 쿠키가 포함되지 않기 때문에 CSRF 공격을 방어할 수 있습니다.
• Lax: Strict보다는 덜 엄격하지만, 주로 안전한 요청(예: 링크 클릭, GET 요청)에 대해서만 쿠키를 포함시킵니다. CSRF 공격을 일부 방어할 수 있습니다.
• None: 다른 사이트에서 보낸 요청에도 쿠키가 포함되게 허용합니다. 이 경우 Secure 속성도 설정해야만 사용됩니다.

1. SameSite 속성을 Strict 또는 Lax 로 설정하면, 쿠키가 다른 웹사이트에서 발생한 요청에 포함되지 않도록 제한할 수 있습니다. 예를 들어, CSRF 공격은 사용자가 다른 웹사이트에서 악의적으로 요청을 보내게 하는 방식이므로, 쿠키가 다른 웹사이트의 요청에 포함되지 않도록 하면 공격을 방어할 수 있습니다.

   • Strict: 쿠키가 오직 동일한 사이트에서 온 요청에만 포함되므로, 다른 사이트에서 보낸 악성 요청은 쿠키를 포함하지 않아 CSRF 공격을 완벽하게 방어할 수 있습니다.
   • Lax: GET 요청과 같은 일부 안전한 요청에는 쿠키가 포함되지만, 다른 사이트에서 온 POST 요청에는 쿠키가 포함되지 않으므로 CSRF 공격에 대한 일부 방어가 됩니다.

2. HttpOnly와 Secure를 함께 설정하면 쿠키가 자바스크립트로 접근할 수 없고, HTTPS를 통해서만 안전하게 전송되어 보안이 강화됩니다.

   • HttpOnly: 쿠키에 이 속성을 설정하면 JavaScript 코드에서 쿠키에 접근할 수 없습니다. 즉, XSS 공격이 발생하더라도 공격자가 자바스크립트로 쿠키를 훔쳐갈 수 없습니다. 이렇게 하면 쿠키의 보안성을 높일 수 있습니다.
   • Secure: 이 속성을 설정하면 쿠키는 HTTPS 프로토콜을 통해서만 전송됩니다. 즉, HTTP로 요청을 보낼 때는 쿠키가 포함되지 않으며, 중간자 공격(MITM) 등으로 쿠키가 탈취되는 위험을 줄일 수 있습니다.

1. JWT 토큰을 헤더에 저장

• 장점:
  • 보안: XSS(교차 사이트 스크립팅) 공격에 강합니다. 클라이언트 사이드에서 스크립트가 헤더에 접근할 수 없기 때문에, 악성 스크립트가 토큰을 훔칠 가능성이 적습니다.
  • 편리성: 요청마다 자동으로 포함되므로, 별도로 쿠키를 관리하거나 설정할 필요가 없습니다. API 호출마다 헤더를 통해 간편하게 인증을 처리할 수 있습니다.
• 단점:
  • CSRF 공격: 헤더는 CSRF(교차 사이트 요청 위조) 공격에 노출될 수 있습니다. 하지만, CSRF를 방지하기 위해 별도의 방어 수단을 추가해야 할 수 있습니다 (예: SameSite 쿠키 속성).
  • 세션 유지: 사용자가 로그아웃할 때 서버에서 토큰을 무효화하려면 서버에 상태를 유지해야 하므로, 토큰이 서버에서 상태를 추적하지 않기 때문에 실시간 로그아웃을 처리하기 어렵습니다.

2. JWT 토큰을 쿠키에 저장

• 장점:
  • CSRF 방어: 쿠키는 SameSite 속성을 Strict 또는 Lax로 설정하여 CSRF 공격을 방어할 수 있습니다.
  • 세션 유지 용이: 쿠키를 사용하면 서버가 클라이언트의 세션을 관리하는 것처럼 동작할 수 있습니다. 쿠키는 자동으로 요청과 함께 전송되므로, 별도로 토큰을 추가하는 과정이 필요 없습니다.
• 단점:
  • XSS 공격에 취약: 쿠키는 기본적으로 자바스크립트로 접근이 가능하므로 XSS 공격에 취약할 수 있습니다. 쿠키를 HttpOnly와 Secure로 설정하여 보안을 강화할 수 있지만, 여전히 XSS 취약점이 존재하면 위험할 수 있습니다.
  • 쿠키 크기 제한: 쿠키는 크기 제한이 있기 때문에, 매우 긴 JWT 토큰을 저장하는 데 문제가 될 수 있습니다.

3. 리프레시 토큰은 쿠키, 엑세스 토큰은 헤더에 저장