안녕하세요, 써트코리아입니다.

구글 크롬의 80버전(2020-02-04 Release)부터 http 사이트에서 쿠키(Cookie) 사용이 제한됩니다.

 

쿠키의 SameSite 속성 Default값이 None에서 ‘Lax’ 로 변경 되면서 기존에 연동하여 사용 중이던 3^rd Party 시스템이나 특히 결제 모듈 등에 문제가 생길 수 있습니다.

(사이트에서 결제(PG) 모듈을 사용하는 경우, 사이트와 결제사의 도메인이 다르기 때문에 문제가 발생할 여지가 있습니다.)

기존에는 쿠키를 제공한 사이트와 쿠키를 사용하고자 하는 외부 사이트의 도메인 주소가 다르더라도 제한되는 부분이 없어 서로 쿠키를 공유할 수 있었으나(SameSite=None),

쿠키의 기본 정책이 SameSite=Lax로 변경되면 동일한 도메인을 가진 사이트에서만 사용되도록 쿠키 사용이 제한되며 일부 예외적인 상황(HTTP Get Method , a href 등)에서만 쿠키 사용이 가능합니다. 

사진 : a.com 사이트와 b.com 사이트에서 쿠키를 공유하여 사용하는 모습

변경된 정책에 맞게 사이트의 유지보수나 개발이 어려운 경우는?

구글은 오직 https으로 운영되는 사이트만 SameSite=None 정책을 계속 사용할 수 있다고 발표했습니다.

따라서 SameSite=None으로 계속 사용해야 하는 경우에는 반드시 SSL 인증서를 사용해야 합니다. 

만약 SSL 인증서를 적용하였고 웹 서버에서 해당 쿠키 정책을 일괄적으로 None으로 적용하려면 다음과 같은 방법을 통해 가능합니다. 

1.     Apache 설정

A.     httpd.conf 등의 conf 파일에서 아래와 같이 헤더 값을 수정합니다.

2.     NginX 설정

A.     nginx.conf 등의 conf 파일에서 아래와 같이 값을 수정합니다.

3.     Tomcat 설정

A.     Tomcat 8.5 이상에서는 Cookie Processor Component 를 이용하여 쿠키 속성을 정의할 수 있습니다.

B.      context.xml 파일을 수정합니다.

자세한 설정 방법 및 출처 : https://tomcat.apache.org/tomcat-8.5-doc/config/cookie-processor.html

4.     IIS 설정

A.     IIS 에 Rewrite 모듈을 설치합니다. (https://www.iis.net/downloads/microsoft/url-rewrite)

B.      web.config 파일에 다음과 같이 설정합니다. (예시 입니다.)

자세한 설정 방법 및 출처 : https://www.petefreitag.com/item/850.cfm

감사합니다.

# 참고자료 및 출처

https://developers-kr.googleblog.com/2020/01/developers-get-ready-for-new.html?fbclid=IwAR0wnJFGd6Fg9_WIbQPK3_FxSSpFLqDCr9bjicXdzy--CCLJhJgC9pJe5ss

https://tomcat.apache.org/tomcat-8.5-doc/config/cookie-processor.html

https://www.iis.net/downloads/microsoft/url-rewrite

https://www.petefreitag.com/item/850.cfm