인프런 커뮤니티 질문&답변
작성한 질문수
CSRF 관련 궁금한게 있어요
해결된 질문
작성
·
37
1
현재 백엔드 프로젝트에서
스프링 시큐리티 프레임워크 도움을 받기 위해
CSRF 설정은 끄고 <form> 전송과 세션 방식으로 로그인 하고 있잖아요. (저는 그렇게 보였는데 아니면 제가 잘못 이해한거구요..)
그런데 요즘은
SSR 방식이 아닌 현재 프로젝트처럼
프론트 따로 서버 따로 해서
서버는 REST API 만 개발하고 JWT 방식을 쓰잖아요
JWT 도 보안에 한계가 있는데
아무튼 이걸 떠나서
현재 CSRF 설정을 끄고
<form> 전송으로 로그인하는게
보안상 많이 위험한 건 아닌가요?
제가 애초에 잘못 이해하고 있어서
질문 자체가 잘못되었을 수 있지만
관련해서 답변 부탁드립니다
답변 1
1
한조각
지식공유자
안녕하세요 SPRING 님!
보안 관련 지적해주신 부분 맞는 내용입니다.
쿠키/세션 기반 로그인시 쿠키가 자동으로 전달되는 점을 이용하여 CSRF 공격이 들어올 수 있습니다.
따라서 CSRF 방어를 해주는게 맞구요. 현재 코드에서는 그 점은 반영되어 있지 않습니다.
다만, 이 강의에서는 개발 편의상 현재 main 브랜치는 csrf 를 비활성화하는 것을 유지하도록 하려고 합니다. (특히 Postman 사용시 추가 CSRF 관련 header 를 넣어야해서 자동화하려면 스크립트 필요)
SPRING 님께서 말씀해주신 부분은 수정해서 새로운 브랜치(feature/security)에 반영해놓았습니다.
front: react
backend: springboot
꼼꼼하게 봐주셔서 감사합니다.