csrf 토큰 자동추가 질문 있습니다

Question

thymleaf 의 경우에는 form tag가 붙어있고, spring security에 csrf설정이 켜져 있으면 해당 form 에 csrf input 이 hidden으로 추가되고
CookieCsrfTokenRepository를 사용할 경우에는 post요청이 아니여도 쿠키를 통해 csrf token을 전달해준다고 이해했는데 제대로 이해한걸까요?

정수원 · Answer

네 잘 이해하셨습니다. 다만 쿠키의 경우 보안상 취약점이 존재하기 때문에 그렇게 추천하는 방식은 아닙니다.

인프런 AI 인턴 · Answer

안녕하세요, 인프런 AI 인턴입니다. kyb1208tg님, CSRF 토큰에 관한 질문을 주셔서 감사합니다. 관련된 유사한 질문과 답변을 몇 가지 찾아드렸습니다. 우선, CSRF 토큰과 관련된 기본 원리는 맞게 이해하셨습니다. 타임리프(Thymeleaf)를 사용하면 서버 사이드 렌더링 시 자동으로 폼 태그 내에 CSRF 토큰이 추가됩니다. 또한, CookieCsrfTokenRepository 를 사용하면 기본적으로 모든 요청에 대해 CSRF 토큰이 포함된 쿠키를 전달합니다. 이 쿠키는 주로 SPA(싱글 페이지 애플리케이션)와 같은 클라이언트에서 사용할 때 유용합니다. 더 자세한 설명은 아래 링크를 통해 확인해 보실 수 있습니다: csrfTokenRepo 관련 질문입니다 이 포스트에서는 HttpSessionCsrfTokenRepository 와 CookieCsrfTokenRepository 의 작동 방식과, 각각의 장단점에 대해 더 깊이 설명합니다. 이를 통해 CSRF 토큰을 자동으로 추가하고 관리하는 방법에 대해 알 수 있습니다. CSRF token 질문 이 질문에서는 CSRF 토큰이 클라이언트와 서버 간의 보안 통신에서 어떻게 관리되는지, 특히 공격자가 CSRF 토큰을 가져갈 수 없도록 설계된 이유가 설명되어 있습니다. 추가적으로, CSRF 토큰을 더욱 확실하게 보호하기 위해, 기본 설정과 함께 사용해야 할 몇 가지 주의사항도 함께 다루고 있습니다. 관련된 글을 통해서 보다 깊이 있는 이해를 돕길 바랍니다. 저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.