csrf 필터 질문

스프링 시큐리티

CSRF 어택 방지 필터: CsrfFilter

해결된 질문

작성

227

안녕하세요. 강의를 듣던 중 의문이 생겨 질문합니다.

csrf 토큰을 이용해 현재 들어온 요청이 악의적인 사이트로부터 온 요청이 아닌 것을 검증한다라는 개념은 이해할 수 있었는데요. 아래 시나리오로 악의적인 form 페이지를 생성해도 csrf 필터가 악의적인 요청을 구별할 수 있는지 궁금합니다.

0. 모든 도메인에 대한 cors 요청은 열려 있다고 가정

1. 악의적인 사이트에 사용자가 접속

2. 악의적인 사이트는 실제 form 페이지를 요청

3. 실제 form 페이지에서 csrf 토큰 파싱 & 위조 form 페이지에 csrf 토큰 삽입

4. 사용자에게 위조 form 페이지 제공

spring java

답변 2

백기선

지식공유자

3번의 과정이 어떻게 벌어질지 구체적으로 설명해 주실 수 있으실까요? A라는 유저가 띄운 폼에 있는 CSRF 토큰 값을 악의적인 사이트의 폼에서 어떻게 읽어갈 것이며, 유저마다 폼마다 달라지는 CSRF 값을 어떻게 악의적인 사이트의 폼 페이지에 CSRF 토큰으로 삽입할 수 있을까요?

쿠크다스

질문자

아 그렇네요. 유저마다 csrf 토큰이 다르게 발급되군요;; 실제로 html에 존재하는 csrf 토큰을 이전에 발급되었던 csrf 토큰으로 변경해서 인증 요청을 하니 인증이 되지 않네요...

답변 감사합니다ㅎㅎ

인프런 커뮤니티 질문&답변

csrf 필터 질문