HTTponly 옵션은 클라이언트 측에서 쿠키 값을 읽을 수 없도록 하는 옵션입니다. 서버 측에서는 쿠키 값을 읽을 수 있으므로, 이 옵션을 활성화하면 XSS 공격을 방지할 수 있습니다.
예를 들어, 클라이언트 측에서 쿠키 값을 읽으려고 하는 코드는 다음과 같습니다.
#hostingforum.kr
javascript
document.cookie = "session_id=1234567890";
이 코드는 HTTponly 옵션을 활성화한 쿠키 값을 읽을 수 없습니다.
하지만, 서버 측에서는 쿠키 값을 읽을 수 있습니다. 예를 들어, PHP에서 쿠키 값을 읽는 코드는 다음과 같습니다.
#hostingforum.kr
php
$session_id = $_COOKIE['session_id'];
이 코드는 HTTponly 옵션을 활성화한 쿠키 값을 읽을 수 있습니다.
HTTponly 옵션을 활성화하면 XSS 공격을 방지할 수 있습니다. XSS 공격은 클라이언트 측에서 쿠키 값을 읽어 공격자가 쿠키 값을 변경할 수 있는 공격입니다. HTTponly 옵션을 활성화하면 공격자가 클라이언트 측에서 쿠키 값을 읽을 수 없으므로, XSS 공격을 방지할 수 있습니다.
PHP에서 HTTponly 옵션을 활성화하는 코드는 다음과 같습니다.
#hostingforum.kr
php
session_set_cookie_params(0, '/', '', true, true);
session_start();
이 코드는 HTTponly 옵션을 활성화합니다.
2025-07-07 12:36