CSRF 관련 궁금한게 있어요
현재 백엔드 프로젝트에서
스프링 시큐리티 프레임워크 도움을 받기 위해
CSRF 설정은 끄고 <form> 전송과 세션 방식으로 로그인 하고 있잖아요. (저는 그렇게 보였는데 아니면 제가 잘못 이해한거구요..)
그런데 요즘은
SSR 방식이 아닌 현재 프로젝트처럼
프론트 따로 서버 따로 해서
서버는 REST API 만 개발하고 JWT 방식을 쓰잖아요
JWT 도 보안에 한계가 있는데
아무튼 이걸 떠나서
현재 CSRF 설정을 끄고
<form> 전송으로 로그인하는게
보안상 많이 위험한 건 아닌가요?
제가 애초에 잘못 이해하고 있어서
질문 자체가 잘못되었을 수 있지만
관련해서 답변 부탁드립니다
답변 1
1
안녕하세요 SPRING 님!
보안 관련 지적해주신 부분 맞는 내용입니다.
쿠키/세션 기반 로그인시 쿠키가 자동으로 전달되는 점을 이용하여 CSRF 공격이 들어올 수 있습니다.
따라서 CSRF 방어를 해주는게 맞구요. 현재 코드에서는 그 점은 반영되어 있지 않습니다.
다만, 이 강의에서는 개발 편의상 현재 main 브랜치는 csrf 를 비활성화하는 것을 유지하도록 하려고 합니다. (특히 Postman 사용시 추가 CSRF 관련 header 를 넣어야해서 자동화하려면 스크립트 필요)
SPRING 님께서 말씀해주신 부분은 수정해서 새로운 브랜치(feature/security)에 반영해놓았습니다.
front: react
backend: springboot
꼼꼼하게 봐주셔서 감사합니다.
드랍 테이블로 지운 ordes에 대해서 질문
0
16
1
실무 내용 문의드려요
0
20
2
문제 풀이 1번 질문
0
25
1
코드 질문
0
25
1
To-Do App
0
27
1
twitterdb 연결이 안돼요
1
26
2
Kafka Cluster 구성도 질문
0
22
1
시큐리티 필터 설정 질문입니다!
2
43
1
강의가 싱크가 안맞는것 같아요..
0
28
1
질문 드립니다!
0
89
1
프론트 API 작업
1
99
2
agents와 commands에 대해 궁금한 점이 있습니다!
1
114
2
.claude 폴더 규칙 생성 방법
1
168
2
강의를 어떻게 보면 좋을 까요?
1
132
2
SKILLS.md나 agents 작성 문의
1
144
1
안녕하세요 강사님 데이터베이스 선택 질문있습니다!!
1
109
2
안녕하세요 질문있습니다.
1
103
1
강의를 듣던 중 궁금한 점 있어요
1
93
1
클로드 대신 제미나이 사용해도
1
711
2
claude 동작 결과값이 다를 경우 어떻게 해나가야 될지 모르겠습니다.
2
163
2
hooks가 동작하기 위한 내용이 없는 것 같아서 추가가 필요하지 않을까 싶습니다.
1
128
3
.claude폴더를 복붙해서 넣긴 넣었는데 궁금한 점이 생겼어요.
1
192
2
터미널에서 claude 입력 과정
1
89
1
.claude 안에 폴더 및 파일은 어떻게 생성하죠?
2
229
1