CSRF
-
Rest API 서버에서 CSRF 공격을 방어해야할까요?글또 2022. 10. 29. 20:10
안녕하세요. 이번 글은 spring security 설정 중 CSRF를 꺼놓았던 기억 때문에 작성하게 되었습니다. 우리는 왜 CSRF를 꺼놓게 되었을까요? CSRF, XSS 공격 XSS : 공격자가 JS로 접근 가능한 곳의 정보를 꺼내 사용한다. CSRF : 공격자가 서버에 사용자 몰래 요청을 보내는 것이다 ->이는 요청 정보가 cookie에 저장되어 있기에 가능한 공격이다. 가끔 글들을 보다 보면 XSS와 CSRF 등의 문제로 쿠키를 지양하는데, 저는 생각이 다릅니다. XSS는 HttpOnly로 막고 CSRF는 서버단에서 referer를 검증 또는 csrf token을 사용하면 방어할 수 있다고 생각합니다. 다른 생각이었지만 SOP로도 막을 수 있을 것이라 생각했지만 이는 틀렸다. 브라우저가 아닌 공간..