카테고리 보관물:

브라우저 쿠키가 SameSite=Strict일 때 크로스 도메인 Redirect 문제

아래와 같은 서로 다른 도메인의 URL이 있다고 하자.

  • https://aaa.com/from
  • https://bbb.com/to

aaa.com/from에서 bbb.com/to으로 이동하는 Redirect가 발생하는 경우 bbb.com이 가진 쿠키중 SameSite=Strict인 쿠키는 전달되지 않는다.

이는 HTTP 응답 헤더에 의한 Redirect 뿐만 아니라 Javascript의 window.location.href에 의한 이동 시에도 마찬가지다.

이와 같은 특성으로 인해 다음과 같은 문제를 겪을 수 있다.

Bitly와 같은 줄임 URL에서 넘어온 경우 다른 도메인에서 넘어왔기 때문에 SameSite=Strict 쿠키가 전달되지 않아 만약 로그인 쿠키 등에 SameSite=Strict을 썼다면 로그인이 되지 않은 상태가 된다.

이러한 이유로 SameSite=Strict을 쓰고 싶지만 SameSite=Lax로 타협을 봐야할 것 같다.

이 글은 개발, 카테고리로 분류되었고 님에 의해 에 작성됐습니다.