인프런 커뮤니티 질문&답변

장원익님의 프로필 이미지
장원익

작성한 질문수

Spring Cloud로 개발하는 마이크로서비스 애플리케이션(MSA)

Users Microservice - Routes 정보 변경

RemoveRequestHeader 이유

작성

·

803

3

안녕하세요

1. RemoveRequestHeader 를 쓰는 이유가 매번 새롭게 요청받기 위함이라고 하셨는데, 매번 새롭게 요청받아야하는 이유가 무엇일까요?

2. 또한 만약 RemoveRequestHeader 가 존재하지 않는다면 어떻게 될까요?

3. Front 에서 Refresh_token을 httpOnly cookie에 담아서 보내는데 이 경우에는 RemoveRequestHeader 를 사용하지 않고싶다면 쓰지 않아도 될까요? 그로 인해서 발생하는 문제는 무엇일까요?

답변 1

5

Dowon Lee님의 프로필 이미지
Dowon Lee
지식공유자

안녕하세요, 이도원입니다.

Request Header에서 Cookie를 삭제하지 않으면, user-service와 같은 애플리케이션에서 Cookies를 추가하여 Response body에 저장된 정보가 있을 경우, Cookie가 계정 존재하게 됩니다. XSS 등의 공격이 될 수도 있습니다. 

    @GetMapping("/welcome")
@Timed(value="users.welcome", longTask = true)
public String welcome(HttpServletRequest request, HttpServletResponse response) {
Cookie[] cookies = request.getCookies();
if (cookies != null) {
Arrays.stream(cookies).forEach(cookie -> {
System.out.print(cookie.getName() + "=" + cookie.getValue());
});
}
Cookie c1 = new Cookie("myuser_token", "abcd1234");
response.addCookie(c1);

// return env.getProperty("greeting.message");
return greeting.getMessage();
}

위 화면에서 보시는 것처럼, Postman의 Cookies 탭에 user-service에서 저장한 쿠키 정보가 보입니다. (위 예제를 실행하기 위해, api-gateway에서 RemoveRequestHeader=Cookie를 적용하지 않았습니다)

반대로, RemoveRequestHeader=Cookie를 적용하게 되면, 같은 페이지를 요청하더라도 해당 Cookie 정보가 남아있지 않게 됩니다. 

답변1) "매번 새롭게 요청"이라는 의미는 쿠키 정보와 같이 Response Body에 어떤 정보도 남기지 않고, 새로운 Request Header로 요청한다는 의미입니다. 

답변2) 위에서 설명 드린바와 같이, 쿠키 정보가 남아 있을 수 있습니다. 

답변3) RemoveRequestHeader=Cookie 도 Optional 설정이기 때문에, 필요에 따라서 설정 하시면 될 것 같습니다. 이로 인한 문제점은, Cookie 정보의 악용이 있을수 있으며, 반대로, 매 요청 마다 쿠키를 삭제함으로써, 중요한 정보는 아니더라도, 간략한 Cookie 정보를 통해, 같은 요청을 전달해야 할 경우에도 매번 새로운 요청이 발생한다는 점이 될 것 같습니다. 

감사합니다. 

장원익님의 프로필 이미지
장원익

작성한 질문수

질문하기