보안
-
[Spring Security][DB]CSRFSpring-diary/WEB 2020. 2. 25. 22:46
정의 Cross site request forger의 약자 웹 사이트의 취약점을 이용하여 이용자가 의도하지 않은 요청을 통한 공격을 의미 http 통신의 Stateless 특성을 이용해 쿠키 정보만으로 공격할 수 있다. 해결책 CSRF Token 정보를 Header 정보에 포함하여 서버 요청을 시도 Spring security로 해당 설정을 편리하게 할 수 있음. *기본 process Spring Security의 CSRF protection은 Http 세션과 동일한 생명 주기를 가지는 토큰을 발행한 후 Http 요청-Patch,Post,Put,Delete 메소드-마다 발행된 토큰이 요청에 포함-Http헤더 또는 Parameter-되어 있는지 검사하는 방식으로 되어있다. *쿠키를 사용해 검증하는 방식 S..
-
Web-INF에 VIEW를 넣어야 하는 이유Spring-diary/WEB 2020. 2. 10. 23:34
브라우저 주소창에 쓰는것과 실제 파일이 있는 위치가 다르다. 요청이 들어오는것과 진짜 자원이 있는 곳을 분리시켜야만 보안상 안전하다. 즉 자원이 어디 있는지 Client 측에선 예측을 못하도록 한다. web-inf에 있는 주소는 찍어도 가지 못한다. spring이 우회시켜서 들어가야만 완성되는 것이지 브라우저상에서는 못들어간다. 때문에 맨 마지막에 프로젝트 마무리할 때 web-inf에 두도록 한다. web-contents밑에 두다가 마무리 할 때가 되면 Web-INF로 view 폴더를 옮겨준다. Dispatcher의 View resolver의 경로 설정도 다르게 해주어야 한다.