Set-Cookie

Set-Cookie HTTP 응답 헤더는 서버에서 사용자 브라우저에 쿠키를 전송하기 위해 사용됩니다.

자세한 정보를 보려면 HTTP cookies에 수록된 가이드를 읽으세요.

Header type Response header
Forbidden header name no

문법

Set-Cookie: <cookie-name>=<cookie-value> 
Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date>
Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit>
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>
Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value>
Set-Cookie: <cookie-name>=<cookie-value>; Secure
Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly

Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict
Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax

// Multiple directives are also possible, for example:
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly

디렉티브

<cookie-name>=<cookie-value>
쿠키는 "이름-값" 페어로 시작됩니다.
  • <cookie-name> 는 제어 문자 및 공백, 탭(\t)를 제외한 아스키 문자로 구성되어야 합니다. 또한, "( ) < > @ , ; : \ " /  [ ] ? = { }" 같은 문자도 포함할 수 없습니다.
  • A <cookie-value> 는 필요하다면 쌍 따운표로 묶여질 수 있고 아스키 코드 문자로 구성되어야 하고, <cookie-name>처럼 제어 문자, 공백, 쌍 따운표, 콤마, 세미콜론, 역 슬래쉬(\)는 사용할 수 없습니다. 엔코딩: 쿠기 값에 대해서 URL 엔코딩을 사용하는 구현 기법들이 많지만, RFC 명세에서 요구하는 것은 아닙니다. 단지, <cookie-value>에 허용된 문자에 대한 요구사항을 만족시킬 뿐이죠.
  • __Secure- 프리픽스: __Secure- (대쉬는 프리픽스의 일부입니다)로 시작되는 쿠키 이름은 반드시 secure 플래그가 설정되어야 하고, 보안 페이지(HTTPS)여야 합니다.
  • __Host- 프리픽스: __Host- 로 시작되는 쿠키들은 secure 플래그가 설정되어야 하며, 마찬가지로 보안 페이지(HTTPS)여야 하고, 도메인이 지정되지 않아야 합니다. (따라서 서브 도메인에 쿠키를 공유할 수 없습니다) 그리고, 경로는 반드시 "/"여야 합니다.
Expires=<date> Optional

HTTP 타임스템프로 기록된 쿠키의 최대 생존 시간(수명). 세부 형태를 확인하려면 Date를 참조하세요. 지정되지 않았다면, 세션 쿠키로서 취급되며, 클라이언트가 종료될 때 파기 됩니다. 그러나 많은 웹 브라우져에서 세션이라고 불리는 기능(그러니까 모든 탭을 기억했다가 브라우져를 다시 켜면 복구된다던지 하는 기능)을 구현합니다. 쿠키들 또한 함께 복원되므로, 정확히 말해서 브라우져를 닫은 적이 없는 게 되는 것이죠.

만료 시간이 지정되면, 시간 및 날자로 이뤄진 값은 서버가 아니라 클라이언트에 상대적인 값으로 취급됩니다.

Max-Age=<number> Optional
쿠키가 만료될 때 까지의 시간 (초 단위). 0 또는 음수가 지정되면 해당 쿠키는 즉시 만료되며, 오래된 브라우저(ie6, ie7 그리고 ie8)은 이 헤더를 지원하지 않습니다. 다른 브라우저들은 둘 다(Expires 와 Max-Age) 지정되었을 때 Max-Age 값을 더 우선시합니다.
Domain=<domain-value> Optional
쿠키가 적용되어야 하는 호스트를 지정. 지정되어 있지 않으면 현재 문서 URI를 기준으로 적용됩니다만, 서브 도메인을 포함하지 않습니다. 이전의 설계와 달리, 도메인의 선두에 위치한 점들은 무시됩니다. 도메인이 지정되면, 서브도메인들은 항상 포함됩니다.
Path=<path-value> Optional
쿠키 헤더를 보내기 전에 요청 된 리소스에 있어야하는 URL 경로를 나타냅니다. % x2F ( "/") 문자는 디렉토리 구분 기호로 해석되며 하위 디렉토리도 일치합니다 (예: path=/docs, "/docs", "/docs/Web/"또는 "/docs/Web/HTTP "가 모두 일치합니다).
Secure Optional
보안 쿠키들은 서버에서 요청이 SSL을 사용하며, HTTPS 프로토콜을 사용할 때에만 전송됩니다. 그러나 기밀 정보나 민감한 정보들은 HTTP 쿠키에 보관되거나 그걸로 전송되어선 안됩니다. 왜냐하면, 그 전체 메커니즘이 본질적으로 보안이 결여되어 있고, 거기 들어있는 어떤 정보도 암호화되지 않기 때문입니다.

노트: 비 보안 사이트(http:)들은 "보안" 쿠키를 더이상 설정할 수 없습니다(Chrome 52+ 및 Firefox 52+).

HttpOnly Optional
HTTP-only cookies aren't accessible via JavaScript through the property, the XMLHttpRequest and Request APIs to mitigate attacks against cross-site scripting (XSS).
SameSite=Strict
SameSite=Lax Optional 

Allows servers to assert that a cookie ought not to be sent along with cross-site requests, which provides some protection against cross-site request forgery attacks (CSRF).

Examples

Session cookies will get removed when the client is shut down. They don't specify the Expires or Max-Age directives. Note that web browser have often enabled session restoring.

Set-Cookie: sessionid=38afes7a8; HttpOnly; Path=/

Instead of expiring when the client is closed, permanent cookies expire at a specific date (Expires) or after a specific length of time (Max-Age).

Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly

Invalid domains

A cookie belonging to a domain that does not include the origin server should be rejected by the user agent. The following cookie will be rejected if it was set by a server hosted on originalcompany.com.

Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk; Path=/; Expires=Wed, 30 Aug 2019 00:00:00 GMT

Cookies names with the prefixes __Secure- and __Host- can be used only if they are set with the secure directive from a secure (HTTPS) origin. In addition, cookies with the __Host- prefix must have a path of "/" (the entire host) and must not have a domain attribute. For clients that don't implement cookie prefixes, you cannot count on having these additional assurances and the cookies will always be accepted.

// Both accepted when from a secure origin (HTTPS)
Set-Cookie: __Secure-ID=123; Secure; Domain=example.com
Set-Cookie: __Host-ID=123; Secure; Path=/

// Rejected due to missing Secure directive
Set-Cookie: __Secure-id=1

// Rejected due to the missing Path=/ directive
Set-Cookie: __Host-id=1; Secure

// Rejected due to setting a domain
Set-Cookie: __Host-id=1; Secure; Path=/; domain=example.com

Specifications

Specification Title
RFC 6265, section 4.1: Set-Cookie HTTP State Management Mechanism
draft-ietf-httpbis-rfc6265bis-02 Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies

Browser compatibility

Compatibility notes

  • Starting with Chrome 52 and Firefox 52, insecure sites (http:) can't set cookies with the "secure" directive anymore.

See also

관련 주제
  1. HTTP
  2. 가이드:
  3. 리소스와 URIs
    1. 웹의 리소스 식별하기
    2. 데이터 URIs
    3. MIME 타입 소개
    4. MIME 타입의 전체 리스트
    5. www와 non-www URL 중에서 선택하기
  4. HTTP 가이드
    1. HTTP 기본
    2. HTTP 개요
    3. HTTP의 진화
    4. HTTP 메시지
    5. 전형적인 HTTP 세션
    6. HTTP/1.x의 연결 관리
    7. 프로토콜 업그레이드 메커니즘
  5. HTTP 보안
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. HTTP 접근 제어(CORS)
  7. HTTP 인증
  8. HTTP 캐싱
  9. HTTP 압축
  10. HTTP 조건부 요청
  11. HTTP 컨텐츠 협상
  12. HTTP 쿠키
  13. HTTP range 요청
  14. HTTP 리다이렉트
  15. HTTP 명세
  16. Feature policy
  17. 레퍼런스:
  18. HTTP 헤더
    1. Accept
    2. Accept-CH [Translate]
    3. Accept-CH-Lifetime [Translate]
    4. Accept-Charset
    5. Accept-Encoding
    6. Accept-Language
    7. Accept-Patch [Translate]
    8. Accept-Ranges
    9. Access-Control-Allow-Credentials
    10. Access-Control-Allow-Headers
    11. Access-Control-Allow-Methods [Translate]
    12. Access-Control-Allow-Origin
    13. Access-Control-Expose-Headers [Translate]
    14. Access-Control-Max-Age [Translate]
    15. Access-Control-Request-Headers
    16. Access-Control-Request-Method
    17. Age
    18. Allow
    19. Alt-Svc [Translate]
    20. Authorization
    21. Cache-Control
    22. Clear-Site-Data [Translate]
    23. Connection
    24. Content-Disposition [Translate]
    25. Content-Encoding
    26. Content-Language
    27. Content-Length
    28. Content-Location
    29. Content-Range
    30. Content-Security-Policy
    31. Content-Security-Policy-Report-Only [Translate]
    32. Content-Type
    33. Cookie
    34. Cookie2 [Translate]
    35. Cross-Origin-Resource-Policy [Translate]
    36. DNT
    37. DPR [Translate]
    38. Date
    39. Device-Memory [Translate]
    40. Digest [Translate]
    41. ETag
    42. Early-Data [Translate]
    43. Expect
    44. Expect-CT [Translate]
    45. Expires
    46. Feature-Policy [Translate]
    47. Forwarded
    48. From
    49. Host
    50. If-Match [Translate]
    51. If-Modified-Since
    52. If-None-Match [Translate]
    53. If-Range
    54. If-Unmodified-Since [Translate]
    55. Index [Translate]
    56. Keep-Alive
    57. Large-Allocation [Translate]
    58. Last-Modified
    59. Link [Translate]
    60. Location [Translate]
    61. Origin [Translate]
    62. Pragma
    63. Proxy-Authenticate [Translate]
    64. Proxy-Authorization [Translate]
    65. Public-Key-Pins [Translate]
    66. Public-Key-Pins-Report-Only [Translate]
    67. Range
    68. Referer
    69. Referrer-Policy [Translate]
    70. Retry-After
    71. Save-Data [Translate]
    72. Sec-WebSocket-Accept [Translate]
    73. Server
    74. Server-Timing [Translate]
    75. Set-Cookie
    76. Set-Cookie2 [Translate]
    77. SourceMap [Translate]
    78. Strict-Transport-Security
    79. TE [Translate]
    80. Timing-Allow-Origin [Translate]
    81. Tk [Translate]
    82. Trailer [Translate]
    83. Transfer-Encoding
    84. Upgrade-Insecure-Requests [Translate]
    85. User-Agent [Translate]
    86. Vary
    87. Via [Translate]
    88. WWW-Authenticate [Translate]
    89. Want-Digest [Translate]
    90. Warning [Translate]
    91. X-Content-Type-Options [Translate]
    92. X-DNS-Prefetch-Control [Translate]
    93. X-Forwarded-For
    94. X-Forwarded-Host [Translate]
    95. X-Forwarded-Proto
    96. X-Frame-Options
    97. X-XSS-Protection
  19. HTTP 요청 메소드
    1. CONNECT
    2. DELETE
    3. GET
    4. HEAD
    5. OPTIONS
    6. PATCH
    7. POST
    8. PUT
    9. TRACE [Translate]
  20. HTTP 응답 상태 코드
    1. 100 Continue
    2. 101 Switching Protocols
    3. 103 Early Hints [Translate]
    4. 200 OK
    5. 201 Created
    6. 202 Accepted [Translate]
    7. 203 Non-Authoritative Information [Translate]
    8. 204 No Content [Translate]
    9. 205 Reset Content
    10. 206 Partial Content
    11. 300 Multiple Choices [Translate]
    12. 301 Moved Permanently
    13. 302 Found
    14. 303 See Other [Translate]
    15. 304 Not Modified
    16. 307 Temporary Redirect [Translate]
    17. 308 Permanent Redirect [Translate]
    18. 400 Bad Request
    19. 401 Unauthorized
    20. 402 Payment Required [Translate]
    21. 403 Forbidden
    22. 404 Not Found
    23. 405 Method Not Allowed
    24. 406 Not Acceptable [Translate]
    25. 407 Proxy Authentication Required [Translate]
    26. 408 Request Timeout [Translate]
    27. 409 Conflict
    28. 410 Gone [Translate]
    29. 411 Length Required
    30. 412 Precondition Failed [Translate]
    31. 413 Payload Too Large
    32. 414 URI Too Long [Translate]
    33. 415 Unsupported Media Type [Translate]
    34. 416 Range Not Satisfiable
    35. 417 Expectation Failed [Translate]
    36. 418 I'm a teapot
    37. 422 Unprocessable Entity
    38. 425 Too Early [Translate]
    39. 426 Upgrade Required [Translate]
    40. 428 Precondition Required [Translate]
    41. 429 Too Many Requests [Translate]
    42. 431 Request Header Fields Too Large [Translate]
    43. 451 Unavailable For Legal Reasons [Translate]
    44. 500 Internal Server Error
    45. 501 Not Implemented [Translate]
    46. 502 Bad Gateway [Translate]
    47. 503 Service Unavailable
    48. 504 Gateway Timeout [Translate]
    49. 505 HTTP Version Not Supported [Translate]
    50. 506 Variant Also Negotiates [Translate]
    51. 507 Insufficient Storage [Translate]
    52. 508 Loop Detected [Translate]
    53. 511 Network Authentication Required [Translate]
  21. CSP 지시문
    1. CSP: base-uri [Translate]
    2. CSP: block-all-mixed-content [Translate]
    3. CSP: child-src [Translate]
    4. CSP: connect-src [Translate]
    5. CSP: default-src
    6. CSP: font-src [Translate]
    7. CSP: form-action [Translate]
    8. CSP: frame-ancestors [Translate]
    9. CSP: frame-src [Translate]
    10. CSP: img-src
    11. CSP: manifest-src [Translate]
    12. CSP: media-src
    13. CSP: navigate-to [Translate]
    14. CSP: object-src [Translate]
    15. CSP: plugin-types [Translate]
    16. CSP: prefetch-src [Translate]
    17. CSP: referrer [Translate]
    18. report-to
    19. CSP: report-uri [Translate]
    20. CSP: require-sri-for [Translate]
    21. CSP: sandbox [Translate]
    22. CSP: script-src
    23. CSP: script-src-attr [Translate]
    24. CSP: script-src-elem [Translate]
    25. CSP: style-src [Translate]
    26. CSP: style-src-attr [Translate]
    27. CSP: style-src-elem [Translate]
    28. CSP: trusted-types [Translate]
    29. CSP: upgrade-insecure-requests [Translate]
    30. CSP: worker-src [Translate]
  22. CORS 에러
    1. Reason: CORS disabled [Translate]
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz' [Translate]
    3. Reason: CORS header 'Access-Control-Allow-Origin' missing [Translate]
    4. Reason: CORS header ‘Origin’ cannot be added [Translate]
    5. Reason: CORS preflight channel did not succeed [Translate]
    6. Reason: CORS request did not succeed
    7. Reason: CORS request external redirect not allowed [Translate]
    8. Reason: CORS request not HTTP [Translate]
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’ [Translate]
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’ [Translate]
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed [Translate]
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’ [Translate]
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ [Translate]
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’ [Translate]
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel [Translate]
  23. Feature-Policy 지시문
    1. Feature-Policy: accelerometer [Translate]
    2. Feature-Policy: ambient-light-sensor [Translate]
    3. Feature-Policy: autoplay [Translate]
    4. Feature-Policy: battery [Translate]
    5. Feature-Policy: camera [Translate]
    6. Feature-Policy: display-capture [Translate]
    7. Feature-Policy: document-domain [Translate]
    8. Feature-Policy: encrypted-media [Translate]
    9. Feature-Policy: fullscreen [Translate]
    10. Feature-Policy: geolocation [Translate]
    11. Feature-Policy: gyroscope [Translate]
    12. Feature-Policy: layout-animations [Translate]
    13. Feature-Policy: legacy-image-formats [Translate]
    14. Feature-Policy: magnetometer [Translate]
    15. Feature-Policy: microphone [Translate]
    16. Feature-Policy: midi [Translate]
    17. Feature-Policy: oversized-images [Translate]
    18. Feature-Policy: payment [Translate]
    19. Feature-Policy: picture-in-picture [Translate]
    20. Feature-Policy: publickey-credentials [Translate]
    21. Feature-Policy: speaker [Translate]
    22. Feature-Policy: sync-xhr [Translate]
    23. Feature-Policy: unoptimized-images [Translate]
    24. Feature-Policy: unsized-media [Translate]
    25. Feature-Policy: usb [Translate]
    26. Feature-Policy: vibrate [Translate]
    27. Feature-Policy: vr [Translate]
    28. Feature-Policy: wake-lock [Translate]
    29. Feature-Policy: xr [Translate]
    30. Feature-Policy: xr-spatial-tracking [Translate]