rest api 에서의 csrf
62
작성한 질문수 16
예제에서 처럼 html 을 response 하지 않고 rest api 를 통해 fe 와 통신하는 경우에도 csrf 를 사용하는 경우가 있을까요? 만약 있다면 어떻게 사용하는지도 알고 싶습니다.
답변 1
0
질문 주셔서 감사합니다.
REST API를 사용하는 경우는 두 가지로 생각할 수 있을 것 같아요.
1) 쿠키 기반 인증을 사용하는 API: 브라우져가 서버에게 받은 쿠키를 요청 헤더에 실어 보내는 구조이기 때문에 CSRF 공격에 취약할수 있습니다. 이를 보완하기 위해 CSRF 토큰으로 예방합니다.
2) 토큰 기반 인증을 사용하는 API: 브라우져에서 실행되는 자바스크립트 어플리케이션이 서버에게 받은 토큰 값을 요청 헤더에 '직접' 실어 보내는 구조라서 CSRF 공격에 덜 취약합니다.
하지만 브라우져에서 관련한 보안 조치를 지원하고(실습에서는 브라우져 설정을 변경함), 서버에서 쿠키를 발급할 때 보안 정책을 적용하기 때문에 어느정도 공격에 안전하다고 볼 수 있습니다.
IO활용-회원관리예제1 샘플코드 문의
0
6
1
SSM접속에 대해
0
18
2
안녕하세요, Oracle Cloud Free Tier 가입 과정에서 계속 오류가 발생해 문의드립니다.
1
20
2
node js 설치 시 npm이 계속 안됩니다.
0
23
1
7.5 강의에서 settings.json 붙여 넣기 내용이 영상과 다릅니다
0
53
2
수업기간 연장 부탁드립니다.
0
48
2
왜 클로드.md 파일에 프롬프트를 넣는건지 궁금합니다
0
55
1
가이드북 애플리케이션 접근 불가
0
34
2
압축파일 비밀번호
0
30
1
C#에서의 RAII
0
66
3
AI 권한 부여가 안됩니다.
0
60
2
CCNA강의 질문드려요
0
30
1
Service(name: traefik)의 EXTERNAL_IP 가 Pending 입니다.
1
48
2
질문있습니다!!
0
72
1
kakao_app_icon 파일이 없습니다.
0
49
1
실무에서 웹개발자가 명시적으로 선언하는 보안 정책의 범위 및 보안 정책 설정 위임 라이브러리
1
134
2
브라우저 내부 보안 정책 스코프에 대한 질문
1
85
1
ETag 사용시 서버의 성능 향상
1
82
2
next.js 와 SOP
1
76
2
사전 요청 관련 질문
1
71
2
하이잭킹 관련 문의
1
132
2
캐싱 관련 문의
1
116
1
TypeError: querystring is not a function 에러 나시는 분들
0
185
1
강사님은 어떤 책으로 HTTP 를 공부하셨나요?
0
278
1