인프런 커뮤니티 질문&답변
작성한 질문수
CSRF 질문
작성
·
229
0
안녕하세요 강사님!
RESTFUL 형식으로만 통신하는 웹서비스에는 crsfFilter는 필요없는게 맞는건가요??
페이지응납 혹은 form으 데이터를 주고받지 않는 서비스에도 적용해야하는건지 궁금합니다.
답변 1
3
정수원
지식공유자
일단 스프링 시큐리티는 csrf 기능이 활성화되어 있다면 restful 방식으로 요청을 한다 하여도 post, put 등으로 데이터를 보낸다면 일단 체크를 하고 있습니다
왜냐하면 모든 요청에 대하여 시큐리티 필터를 타기 때문입니다
물론 폼 데이터를 보내는 것이 아닌 단순히 페이지를 불러오는 하는 get 요청은 csrf 를 패스합니다
질문하신 것처럼 서버의 페이지 렌더링 없이 어떤 툴이나 클라이언트 프로그램으로 rest 요청을 했을 때 서버에서 요청에 대한 csrf 를 체크할 필요가 없고 오직 토큰으로만 인증여부를 체크해도 보안상 괜찮다고 판단되면 스프링 시큐리티의 csrf 기능을 끄셔도 상관없습니다
그러나 보안상 운영에서는 csrf 기능을 활성화하는 것이 안전합니다
답변 감사합니다~~