SameSite=None은 크로스 사이트(다른 도메인)에서도 쿠키를 전송하기 위한 설정이다. 하지만 보안 강화를 위해 SameSite=None을 사용하려면 반드시 Secure 옵션(HTTPS 전용)이 함께 필요하다. 이 정책은 Chrome 80 이후 적용되었으며, 미설정 쿠키는 기본적으로 SameSite=Lax로 처리되어 외부 요청에서 제한된다.

풍우래기 2020-03-30 6

HTTPS 페이지에서 HTTP 리소스를 요청하면 보안상 문제로 브라우저가 차단하는 “Mixed Content” 오류가 발생한다. 이는 보통 리다이렉트, 외부 리소스(이미지/스크립트), 프록시 설정 문제 등으로 HTTP 요청이 섞이면서 발생한다. 해결하려면 모든 요청을 HTTPS로 통일하거나, 프록시/헤더 설정 및 CSP 등을 통해 안전하게 HTTPS로 변환해야 한다.

풍우래기 2020-01-30 7