인프런 커뮤니티 질문&답변
작성한 질문수
클라이언트에서 csrf 토큰은 어디 저장된다고 봐야하나요?
작성
·
427
1
세션아이디의 경우 클라이언트의 쿠키에 저장되는 반면
csrf토큰은 어디에 저장된다고 봐야 할까요 .?
답변 1
0
정수원
지식공유자
네
기본적으로는 쿠키에 저장하는 것 같지는 않습니다.
CsrfFilter 내용을 보면
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
request.setAttribute(HttpServletResponse.class.getName(), response);
CsrfToken csrfToken = this.tokenRepository.loadToken(request);
boolean missingToken = (csrfToken == null);
if (missingToken) {
csrfToken = this.tokenRepository.generateToken(request);
this.tokenRepository.saveToken(csrfToken, request, response);
}
request.setAttribute(CsrfToken.class.getName(), csrfToken);
request.setAttribute(csrfToken.getParameterName(), csrfToken);
if (!this.requireCsrfProtectionMatcher.matches(request)) {
if (this.logger.isTraceEnabled()) {
this.logger.trace("Did not protect against CSRF since request did not match "
+ this.requireCsrfProtectionMatcher);
}
filterChain.doFilter(request, response);
return;
}
위의 내용중에
request.setAttribute(CsrfToken.class.getName(), csrfToken);
request.setAttribute(csrfToken.getParameterName(), csrfToken);
를 보시면 request 객체에 담고 있습니다.
근데 tokenRepository 를 보니까 여러 구현체 중에서 CookieCsrfTokenRepository 가 있긴 합니다.
그리고 이 클래스에서는
@Override
public void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {
String tokenValue = (token != null) ? token.getToken() : "";
Cookie cookie = new Cookie(this.cookieName, tokenValue);
cookie.setSecure((this.secure != null) ? this.secure : request.isSecure());
cookie.setPath(StringUtils.hasLength(this.cookiePath) ? this.cookiePath : this.getRequestContext(request));
cookie.setMaxAge((token != null) ? this.cookieMaxAge : 0);
cookie.setHttpOnly(this.cookieHttpOnly);
if (StringUtils.hasLength(this.cookieDomain)) {
cookie.setDomain(this.cookieDomain);
}
response.addCookie(cookie);
}
의 구문도 있습니다.
즉 쿠키에 담고 있습니다.
어떤 조건에 따라 쿠키에 담아 보내는 것 같기도 한데 저도 자세히는 테스트 해보지 않았습니다.
참고 정도만 하시면 될 것 같습니다.