-
[Spring] CSRF 공격과 토큰Web/Servlet && Spring 2019. 9. 24. 17:06
스프링 시큐리티에서 POST방식을 이용하는 경우는 기본적으로 CSRF토큰 이라는 것을 이용한다.
CSRF(Cross-site request forgery) '사이트간 위조방지'를 목적으로 특정한 값의 토큰을 사용하는 방식이다.
해당 공격은 서버에서 받아들이는 요청을 해석하고 처리할 때 어떤 출처에서 호출이 진행되었는지 따지지 않기 때문에 생기는 허점을 노리는 공격방식 이다.
CSRF공격을 막기 위한 방법은 여러 방식이 존재한다.
CSRF공격 자체가 사용자의 요청에 대한 출처를 검사하지 않아서 생기는 허점이기 때문에 사용자 요청 출처를 의미하는 referer 헤더를 체크하거나 일반적인 경우에 잘 사용되지 않고 REST방식에서 사용되는 PUT, DELETE와 같은 방식을 이용하는 등의 방식을 고려해 볼 수 있습니다.
반응형'Web > Servlet && Spring' 카테고리의 다른 글
[spring] invalid END header (bad central directory offset) 에러 (0) 2020.06.26 [sts] lombok @Data 사용이 안될때 (0) 2020.03.03 [Spring] 스프링 시큐리티 (spring security) (0) 2019.09.24 sts - launching vm 에러 (포트 변경방법) (0) 2019.09.20 [Spring] ArrayIndexOutOfBoundsException: 46824에러 해결방법 (0) 2019.09.02