node.js express httpOnly 설정

< httpOnly 설정이 되어있다면 javascript로 cookie에 접근할 수 없다. >

app.use(
    expressSession({ 
       	...
        cookie: {
            httpOnly: true, // javascript로 cookie에 접근하지 못하게 하는 옵션
            secure: true, 
        },
        ...
    }),
);

만약 httpOnly 가 true 라면 해당 값은 javascript 로 가져올 수 없다.

res.cookie('nickname', nickname, { maxAge: 900000, httpOnly: false })
res.cookie('isLoggedIn', true, { maxAge: 900000, httpOnly: false })

특정 쿠키만 httpOnly 를 false 로 설정한다면 접근 할 수있다.

 

 

크롬에 F12 눌러서 DevTools 를 키고 Application 탭의 Cookies를 보면 아래와 같다.

connect.sid만 가져올 수 없다.