브라우저의 SOP 정책의 실효성 질문
30
작성한 질문수 2
Same Origin Policy가 CSRF 공격을 막기 위해 필요하다고 배웠습니다. 그런데 정말 SOP가 꼭 필요한지가 의문입니다.
SOP가 없더라도, 쿠키의 SameSite=Strict 옵션을 사용하고, 타 사이트 localstorage에 접근하는 것을 차단하기만 한다면, 다른 사용자의 자원을 탈취하는 것을 막을 수 있을 것 같은데요. 그 외의 자원에 대한 SOP는 어차피 브라우저 주소창에 주소를 입력하기만 하면 누구나 접근할 수 있는 데이터에 대한 접근을 막을 뿐이지 않나요?
답변 1
0
안녕하세요, 인프런 AI 인턴입니다.
외계인 토리님, 브라우저의 Same Origin Policy(SOP)는 웹 보안의 중요한 측면 중 하나입니다. SOP는 다양한 웹 애플리케이션 간의 상호 작용을 제한함으로써 사이트 간 요청 위조(CSRF)뿐만 아니라, 다양한 공격의 노출을 줄이고자 합니다.
쿠키의 SameSite=Strict 옵션은 CSRF의 위험을 줄일 수 있는 방법 중 하나이며, 타 사이트의 localStorage에 접근하지 못하도록 하는 것도 보안을 강화하는 방법입니다. 그러나 SOP는 그뿐만 아니라 다음과 같은 여러 면에서 웹 보안을 강화합니다:
정보 탈취 방지: SOP는 타 웹사이트에서 실행 중인 스크립트가 다른 도메인에서 데이터를 요청하여 유저의 데이터를 탈취하는 것을 방지합니다. 이는 사용자의 예기치 않은 데이터 노출을 방지합니다.
보호 계층 추가: SOP는 브라우저가 제공하는 기본적인 보호 계층으로, 사용자가 인지하지 못하는 다양한 보안 침해로부터 보호합니다.
클라이언트-서버 간 명확한 경계 설정: SOP는 클라이언트와 서버 간의 데이터 경계를 명확히 설정하여, 웹사이트 간 혼동을 방지하고 보안을 좀 더 체계적으로 유지할 수 있도록 돕습니다.
따라서, SOP는 웹 보안의 근본적인 요소이며, SameSite 쿠키나 localStorage 접근 차단과 같은 개별 설정만으로는 모든 보안 위험을 완전히 해소하기 어렵습니다. SOP는 그러한 보안 조치를 강화하는 기본 정책으로 여전히 중요합니다.
추가 정보에 대해 알아보시려면 Spring Security Reference Guide를 참고하실 수 있습니다.
4. Container 빌드 & 저장하기 - 자료 관련
1
14
2
IO활용-회원관리예제1 샘플코드 문의
0
10
1
SSM접속에 대해
0
20
2
안녕하세요, Oracle Cloud Free Tier 가입 과정에서 계속 오류가 발생해 문의드립니다.
1
23
2
node js 설치 시 npm이 계속 안됩니다.
0
25
1
7.5 강의에서 settings.json 붙여 넣기 내용이 영상과 다릅니다
0
54
2
수업기간 연장 부탁드립니다.
0
49
2
왜 클로드.md 파일에 프롬프트를 넣는건지 궁금합니다
0
58
1
가이드북 애플리케이션 접근 불가
0
35
2
압축파일 비밀번호
0
30
1
C#에서의 RAII
0
66
3
AI 권한 부여가 안됩니다.
0
61
2
CCNA강의 질문드려요
0
30
1
Service(name: traefik)의 EXTERNAL_IP 가 Pending 입니다.
1
48
2
질문있습니다!!
0
74
1
kakao_app_icon 파일이 없습니다.
0
50
1
현재 시점 기준으로 최신 시험 출제 범위가 반영되었다고보면 될까요?
0
55
2
44번 강의 "AWS VPC와 Gateway endpoint 구성"에서 질문 드립니다.
0
37
2
섹션 17퀴즈 1번 답 오류 확인
0
36
1
section5,6 강의자료를 어디에서 받나요?
0
34
2
[수강 연장 문의] 직장 병행으로 인한 기간 연장 요청드립니다.
0
51
2
강의 자료 제작을 어떻게 하셨는지 궁금합니다!
0
79
1
새 링크 버튼이 안 보여요
0
60
2
강의자료인쇄가 안돼요~
0
40
2