SameSite 의 값들이 뭘 의미하나요?

`Strict` 는 same-site 만 — 외부 링크로 진입 시 쿠키 전송 X. `Lax` 는 top-level navigation 까지 허용 (default in modern Chrome). `None` 은 모두 허용하지만 `Secure` 필수.

HttpOnly 와 Secure 차이는?

`HttpOnly` 는 JavaScript 의 `document.cookie` 접근 차단 — XSS 방어. `Secure` 는 HTTPS 만 전송 — 도청 방어. 둘 다 필수에 가까운 권장.

RFC 6265 가 쿠키 값에 일부 문자를 금지하기 때문 — 공백·세미콜론·쉼표 등. 그래서 JSON 처럼 복잡한 값은 보통 URL encoding 거쳐 저장.

예시

session=abc123; Domain=yutils.dev; Path=/; Expires=Wed, 13 May 2026 12:00:00 GMT; Secure; HttpOnly; SameSite=Lax

name: session
value: abc123
domain: yutils.dev
path: /
expires: Wed, 13 May 2026 12:00:00 GMT
secure: true
httpOnly: true
sameSite: Lax

Cookie 헤더(요청)와 Set-Cookie 헤더(응답) 모두 인식. URL 인코딩된 값도 자동 디코드.

사용법 / 자주 묻는 질문

Q.SameSite 의 값들이 뭘 의미하나요?: A.`Strict` 는 same-site 만 — 외부 링크로 진입 시 쿠키 전송 X. `Lax` 는 top-level navigation 까지 허용 (default in modern Chrome). `None` 은 모두 허용하지만 `Secure` 필수.
Q.HttpOnly 와 Secure 차이는?: A.`HttpOnly` 는 JavaScript 의 `document.cookie` 접근 차단 — XSS 방어. `Secure` 는 HTTPS 만 전송 — 도청 방어. 둘 다 필수에 가까운 권장.
Q.value 가 url-encoded JSON 인 이유는?: A.RFC 6265 가 쿠키 값에 일부 문자를 금지하기 때문 — 공백·세미콜론·쉼표 등. 그래서 JSON 처럼 복잡한 값은 보통 URL encoding 거쳐 저장.

재미있는 사실

HTTP 쿠키는 1994년 Netscape 의 Lou Montulli 가 발명했습니다. 원래 목적은 '온라인 쇼핑 카트' — 서버가 상태를 유지하지 않고도 사용자별 장바구니를 유지하기 위해. 그 단순한 아이디어가 현재 세션·인증·광고 추적·analytics 의 토대가 됐습니다.
Wikipedia — HTTP cookie
쿠키 표준은 여러 번 갱신됐습니다 — Netscape 비공식 1994 → RFC 2109 (1997) → RFC 2965 (2000) → 현재 RFC 6265 (2011). RFC 6265 가 가장 단순·실용적 — 이전 두 RFC 의 복잡한 기능을 제거하고 실제 브라우저 동작에 맞춤.
RFC 6265 (2011)
SameSite 속성 (2016 도입) 은 CSRF 방어의 핵심 — `Strict` / `Lax` / `None`. Chrome 80 (2020) 부터 기본값이 None → Lax 로 바뀌면서 명시적 SameSite 선언이 강제됐고, '쿠키가 갑자기 안 박힌다' 는 호환성 사건이 전 세계적으로 발생했습니다.
web.dev — SameSite cookies