피드로 돌아가기
Build Log: Untangling SameSite, Same-Origin, and Cookie Auth in a Microservice Platform
Dev.toDev.to
Security

Deployment Topology 최적화를 통한 SameSite=Strict 기반 보안 인증 체계 구축

Build Log: Untangling SameSite, Same-Origin, and Cookie Auth in a Microservice Platform

Thuyavan2026년 5월 27일4intermediate

AI 요약

Context

localStorage 기반 JWT 인증의 보안 취약점 해결을 위해 Secure Cookie 방식으로 전환하려는 과정에서 SameSite 설정과 Deployment Topology 간의 충돌 발생. 기존 CSRF 방어용 SameSite=Strict 설정과 마이그레이션 계획상의 SameSite=None 요구사항 사이의 기술적 모순 분석 필요.

Technical Solution

  • Same-Origin과 Same-Site의 정의 차이를 분석하여 api.company.com과 app.company.com 간의 통신이 Cross-Origin이나 Same-Site임을 확인하여 SameSite=Strict 유지 가능성 도출
  • Nginx Reverse Proxy를 활용한 Single Gateway 구조 설계로 브라우저 관점의 Same-Origin 환경을 조성하여 CORS 복잡도 제거 및 Cookie 전송 효율 최적화
  • Single Gateway 내 다수 SPA 배치를 위해 Path-based Routing을 적용하고 Vite base path 및 React Router basename 설정을 통한 Client-side Routing 정합성 확보
  • HTTP raw IP 기반 통신에서 발생하는 Secure Cookie 거부 문제를 해결하기 위해 HTTPS Termination 도입 및 도메인 기반 라우팅 체계 구축
  • localStorage의 Bearer Token 제거 및 HttpOnly Secure Cookie 전용 인증 흐름으로 전환하여 XSS 및 CSRF 노출 가능성 최소화

실천 포인트

1. Cookie 인증 도입 시 Same-Origin(Scheme+Host+Port)과 Same-Site(eTLD+1) 구분 여부 확인

2. Reverse Proxy 도입 시 브라우저가 인식하는 최종 Hostname 기준의 보안 정책 검토

3. Secure Cookie 사용 시 HTTPS Termination 적용 및 Raw IP 사용 여부 점검

4. 다수 SPA 통합 배포 시 Nginx try_files 설정과 Frontend Framework의 base path 일치 여부 확인

태그

#SameSite#Secure Cookie#Reverse Proxy#Deployment Topology#CORS
원문 읽기