cookie_httponly는 HTTP 요청의 Cookie 헤더에만 접근할 수 있도록 허용하는 옵션입니다.
이 옵션을 활성화하면 JavaScript에서 Cookie를 읽거나 수정하는 것을 방지하여 XSS 공격을 차단할 수 있습니다.
예를 들어, 로그인한 사용자가 XSS 공격을 받았을 때, 공격자가 사용자의 세션 쿠키를 읽어 로그인한 사용자의 정보를 취득하는 것을 방지할 수 있습니다.
session.cookie_httponly 옵션을 사용하려면 PHP의 세션 설정에서 cookie_httponly를 활성화해야 합니다.
예시:
#hostingforum.kr
php
ini_set('session.cookie_httponly', 1);
또한, PHP의 세션 설정에서 cookie_httponly 옵션을 활성화한 후, 세션을 사용하여 로그인을 구현할 때, 세션 쿠키의 보안을 고려하여 세션 쿠키의 이름과 값, 유효시간 등을 설정해야 합니다.
예시:
#hostingforum.kr
php
session_start();
$_SESSION['username'] = 'john';
session_set_cookie_params(3600); // 1시간
session_commit();
이러한 설정을 통해 세션 쿠키의 보안을 강화하고 XSS 공격을 차단할 수 있습니다.
2025-06-30 14:20