csrf 필터 질문
안녕하세요. 강의를 듣던 중 의문이 생겨 질문합니다.
csrf 토큰을 이용해 현재 들어온 요청이 악의적인 사이트로부터 온 요청이 아닌 것을 검증한다라는 개념은 이해할 수 있었는데요. 아래 시나리오로 악의적인 form 페이지를 생성해도 csrf 필터가 악의적인 요청을 구별할 수 있는지 궁금합니다.
0. 모든 도메인에 대한 cors 요청은 열려 있다고 가정
1. 악의적인 사이트에 사용자가 접속
2. 악의적인 사이트는 실제 form 페이지를 요청
3. 실제 form 페이지에서 csrf 토큰 파싱 & 위조 form 페이지에 csrf 토큰 삽입
4. 사용자에게 위조 form 페이지 제공
답변 2
1
3번의 과정이 어떻게 벌어질지 구체적으로 설명해 주실 수 있으실까요? A라는 유저가 띄운 폼에 있는 CSRF 토큰 값을 악의적인 사이트의 폼에서 어떻게 읽어갈 것이며, 유저마다 폼마다 달라지는 CSRF 값을 어떻게 악의적인 사이트의 폼 페이지에 CSRF 토큰으로 삽입할 수 있을까요?
0
아 그렇네요. 유저마다 csrf 토큰이 다르게 발급되군요;; 실제로 html에 존재하는 csrf 토큰을 이전에 발급되었던 csrf 토큰으로 변경해서 인증 요청을 하니 인증이 되지 않네요...
답변 감사합니다ㅎㅎ
커스텀 로그인 페이지를 등록할 경우 LogoutFilter의 등록 여부 질문
0
383
1
anonymousClass를 사용하는 이유
0
387
1
ExcpetionTranslationFilter가 FilterSecurityInterceptor에서 발생하는 예외만 처리하는 이유
0
242
1
Principal 인터페이스와 User 클래스의 관계
0
756
1
passwordEncoder 질문드립니다.
0
320
1
WebSecurityConfigurerAdapter is deprecated 가 불편하신 분들을 위해
6
864
1
왜 스프링은 userid가 아니고 username을 사용했을까요?
0
1022
1
무상태성
0
346
2
로그인 후 로그인 페이지 접속
0
282
1
AuthenticationException은 어떤 경우에 발생하는지
0
556
1
AccountService에 비밀번호
1
224
1
커스텀 어노테이션 의 `커스텀 value` 설정방법에 관한 질문입니다.
0
356
1
passwordEncoder 빈 생성 시 차이
0
253
1
Bean 등록 관련 질문입니다.
0
247
1
시큐리티 전략관련
0
354
3
브라우저 기반 요청이 클라이언트의 요청을 처리 -> 의 의미?
0
228
1
AccountControllerTest 실행오류
0
1066
1
알려주신대로 설정을 해도 다시 302요청을 보냅니다....
0
342
1
voter에 대해 질문이 있습니다.
0
225
1
제가 맞게 이해한것인지 궁금합니다.
1
233
1
Spring security test 수행시 @AuthenticationPrincipal 가 null 로 세팅됨
0
549
1
Spring security Multi 인증 문의드려요
0
287
1
ProviderManager 문의
0
267
1
UserDetailsService 가 DaoAuthenticationProvider 에 어떻게 주입 되는지 알 수 있을 까요?
0
326
1