[BUG] 로그아웃 후 쿠키가 삭제되지 않는 버그 #322
Comments
This was referenced Aug 7, 2024
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
{{ message }}
🐞 어떤 버그인가요?
🙄 어떤 상황에서 발생한 버그인가요?
Authorization 쿠키의 설정이 서로 달라 발생한 버그입니다.
현재 로그인의 Set-Cookie 헤더에는 SameSite 설정이 되어있지만, 로그아웃에는 되어 있지 않기 때문에 발생합니다.
🔍 GPT에게 물어본 참고할만한 자료
HTTP 쿠키의 SameSite 설정은 쿠키의 보안과 프라이버시를 강화하기 위한 옵션으로, 웹사이트 간 요청 시 쿠키의 전송을 제한하는 역할을 합니다. 이 설정은 쿠키가 언제 브라우저에 의해 전송될지를 제어합니다. SameSite 속성은 세 가지 값 중 하나를 가질 수 있습니다: Strict, Lax, None. 각 값의 의미는 다음과 같습니다.
SameSite=Strict:
쿠키는 동일한 사이트 내에서만 전송됩니다.
사용자가 웹사이트의 다른 페이지를 탐색할 때만 쿠키가 전송되며, 외부 사이트에서 해당 웹사이트로 오는 요청에는 쿠키가 전송되지 않습니다.
예를 들어, example.com의 쿠키가 설정된 경우, 외부 사이트인 another-site.com에서 example.com으로의 요청에는 쿠키가 포함되지 않습니다.
SameSite=Lax:
쿠키는 동일한 사이트 내에서 전송되지만, 일부 "안전한" 외부 요청에서도 전송될 수 있습니다.
안전한 요청은 주로 GET 메서드를 사용하는 네비게이션 요청(예: 링크 클릭)과 같은 경우를 포함합니다.
이 설정은 CSRF(Cross-Site Request Forgery) 공격에 대해 어느 정도 보호를 제공하면서도 일반적인 사용자 경험에 큰 영향을 주지 않습니다.
예를 들어, 사용자가 example.com의 링크를 클릭하여 example.com의 다른 페이지로 이동하면 쿠키가 전송되지만, POST 요청 등에는 전송되지 않습니다.
SameSite=None:
쿠키가 모든 컨텍스트에서 전송됩니다.
사이트 간 요청에도 쿠키가 전송되며, 이는 기본적인 쿠키 동작입니다.
하지만, SameSite=None을 사용할 경우, 쿠키에는 반드시 Secure 속성도 함께 설정되어야 하며, 그렇지 않으면 대부분의 최신 브라우저에서 쿠키가 차단됩니다.
이 설정은 제3자 콘텐츠(예: 광고, 임베디드 콘텐츠)가 쿠키에 접근해야 하는 경우에 유용하지만, 보안 위험이 높아집니다.
The text was updated successfully, but these errors were encountered: