CSRF
-
[Spring Security][DB]CSRFSpring-diary/WEB 2020. 2. 25. 22:46
정의 Cross site request forger의 약자 웹 사이트의 취약점을 이용하여 이용자가 의도하지 않은 요청을 통한 공격을 의미 http 통신의 Stateless 특성을 이용해 쿠키 정보만으로 공격할 수 있다. 해결책 CSRF Token 정보를 Header 정보에 포함하여 서버 요청을 시도 Spring security로 해당 설정을 편리하게 할 수 있음. *기본 process Spring Security의 CSRF protection은 Http 세션과 동일한 생명 주기를 가지는 토큰을 발행한 후 Http 요청-Patch,Post,Put,Delete 메소드-마다 발행된 토큰이 요청에 포함-Http헤더 또는 Parameter-되어 있는지 검사하는 방식으로 되어있다. *쿠키를 사용해 검증하는 방식 S..