URL에 세션 ID를 그대로 넘겨주면 보안상 매우 취약하지 않나요... - 인프런

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술

로그인 처리하기 - 서블릿 HTTP 세션2

URL에 세션 ID를 그대로 넘겨주면 보안상 매우 취약하지 않나요?

2022-02-22T03:17:33.301Z

491

초코우유

작성한 질문수 3

조금 주제랑 엇나간 것 같긴 한데 궁금해서 질문 드립니다

만약 URL 뒤에 세션 ID를 그대로 넘겨주는 방식을 사용하는데

만일 해커가 이를 긁어간다면 세션정보를 그대로 도용해서 사용할 수 있게되지 않나요..???

실제 서비스중인 사이트에서 URL 전달방식을 안풀고 사용하기도 하나요???

spring MVC

답변 1

David

2022-02-22T04:23:41.571Z

안녕하세요. 초코우유님, 공식 서포터즈 David입니다.

그러한 공격 방식을 세션 하이재킹이라고 합니다.

자세한 설명은 아래 글을 참고해주세요.

https://swk3169.tistory.com/22

일반적으로는 쿠키에 담겨서 전달됩니다.

감사합니다.

이미지 업로드와 db 트랜잭션 묶는법

2026-04-11T06:32:45.077Z

Could not resolve org.springframework.boot:spring-boot-starter-validation:2.4.4

2026-04-02T05:27:44.328Z

MessageSourceTest 코드

2026-03-17T10:55:31.737Z

인터셉터 에러 설정

2026-03-12T09:04:22.140Z

resolveArgument()메서드 질문

2026-03-12T04:53:18.984Z

43강 검증1 에서 실패 로직 관련 질문있습니다.

2026-02-26T01:34:46.738Z

타임리프 3.X 버전 rendering, serializer 에러 해결 방법

2026-02-02T13:58:59.284Z

130

스프링 빈에 등록이 안되는거 같은데 어떻게 하면 좋을까요?ㅠㅠ

2026-01-29T16:49:35.135Z

pdf 오타 문의

2026-01-23T03:21:35.809Z

ItemUpdateForm 검증 관련 질문입니다.

2026-01-21T06:43:54.773Z

22page 링크 주소 변경

2026-01-13T11:33:10.117Z

특정 데이터와 파일을 함께 저장 시, 테이블 구조 질문

2026-01-11T05:02:58.164Z

섹션3번 수업에 대한 질문입니다.

2025-12-27T09:45:43.095Z

@Autowired 보다 더 좋은 방법이 어떤 걸까요?

2025-12-27T02:36:50.127Z

타입컨버터 가 람다랑 비슷해 보이는데 저의 생각이 맞는지?.

2025-12-24T14:21:10.672Z

자바스크립트 인라인에서 객체 직렬화 시 오류가 납니다

2025-12-22T11:44:08.105Z

140

스프링부트 - 오류페이지2 에서 500.html 에서 쓰인 객체 질문

2025-12-22T10:12:10.094Z

톰캣 에러 페이지가 안보입니다.

2025-12-21T03:39:26.400Z

apiEceptionController에서 센드 에러 호출하면 안되는지?

2025-12-14T14:45:35.099Z

세션 타임아웃시 쿠키 삭제 방법이 없나요?

2025-12-13T03:52:42.487Z

116

ApiExceptionController 질문드립니다.

2025-12-08T15:03:39.454Z

셀렉박스 챕터에서 option value에 ==배송 방식 선택== 이것을 넣은 이유가 궁금함, 이렇게 구상해도 되는지?

2025-12-05T07:41:25.914Z

MemberRepository 필드의 fianl 선언 유무

2025-11-30T22:06:37.227Z

혹시 index.html 에서는 fragment 사용이 안되는건가요

2025-11-27T04:36:24.278Z