[Appscan] SameSite

 

internal.example.com 과 admin.example.com 이 쿠키를 공유할 필요가 없다면

 

SameSite=Strict 

쿠키가 동일한 사이트(도메인)에서 발생한 요청에서만 전송됨

다른 도메인 링크 클릭, 리다이렉션 등에는 전송되지 않음

example.com/dashboard > example.com/profile 이동 시 쿠키 유지됨

other-site.com > 링크 클릭 > example.com 이동 시 쿠키 전송 X

 

SameSite=Lax

example.com/dashboard > example.com/profile 이동 시 쿠키 유지됨

other-site.com > 링크 클릭 > example.com 이동 시 쿠키 전송됨

 

other-site.com 에서 POST form 으로 example.com 에 전송 시 쿠키 전송 X

CSRF 막을 수 있음

 

 

• CSRF 방어는 가능하지만, GET 요청을 통한 CSRF 공격이 가능할 수도 있음 (예: <img> 태그를 악용한 요청)
• 고도의 보안이 필요한 경우 SameSite=Strict 또는 CSRF 토큰을 함께 사용하는 것이 좋음

 

 

 

SameSite=None

크로스사이트 요청에서도 쿠키 전송 (Secure 속성 필요)

 

 

 

내부망에서 여러 서브 도메인(app.internal.com <> api.internal.com) 을 사용하는 경우

쿠키 공유가 필요할 수 있음

그러면 SameSite=None 하고 Secure; 하면 됨

 

✅ 내부망 대부분의 경우 → SameSite=Lax; Secure; HttpOnly
✅ 내부망에서 쿠키 공유 없이 강력한 보안이 필요 → SameSite=Strict
✅ 내부망에서 여러 서브도메인 간 쿠키 공유 필요 → SameSite=None; Secure