CSRF 관련 궁금한게 있어요
현재 백엔드 프로젝트에서
스프링 시큐리티 프레임워크 도움을 받기 위해
CSRF 설정은 끄고 <form> 전송과 세션 방식으로 로그인 하고 있잖아요. (저는 그렇게 보였는데 아니면 제가 잘못 이해한거구요..)
그런데 요즘은
SSR 방식이 아닌 현재 프로젝트처럼
프론트 따로 서버 따로 해서
서버는 REST API 만 개발하고 JWT 방식을 쓰잖아요
JWT 도 보안에 한계가 있는데
아무튼 이걸 떠나서
현재 CSRF 설정을 끄고
<form> 전송으로 로그인하는게
보안상 많이 위험한 건 아닌가요?
제가 애초에 잘못 이해하고 있어서
질문 자체가 잘못되었을 수 있지만
관련해서 답변 부탁드립니다
Answer 1
1
안녕하세요 SPRING 님!
보안 관련 지적해주신 부분 맞는 내용입니다.
쿠키/세션 기반 로그인시 쿠키가 자동으로 전달되는 점을 이용하여 CSRF 공격이 들어올 수 있습니다.
따라서 CSRF 방어를 해주는게 맞구요. 현재 코드에서는 그 점은 반영되어 있지 않습니다.
다만, 이 강의에서는 개발 편의상 현재 main 브랜치는 csrf 를 비활성화하는 것을 유지하도록 하려고 합니다. (특히 Postman 사용시 추가 CSRF 관련 header 를 넣어야해서 자동화하려면 스크립트 필요)
SPRING 님께서 말씀해주신 부분은 수정해서 새로운 브랜치(feature/security)에 반영해놓았습니다.
front: react
backend: springboot
꼼꼼하게 봐주셔서 감사합니다.
패키지 구분에 대해 궁금한게 있습니다
0
7
1
순위가 동률일 때의 처리에 대해 질문드립니다.
0
10
2
Substack 1년 제공
1
21
3
특별 학습 자료 프로모션 1년 멤버십 무료 제공 문의드립니다
0
27
2
스프링부트 서버 에러나요
0
17
1
2026.04에 추가된 강의 시청 불가
0
27
1
Service Create/Update Record 운용과 Delete Record 미운용의 차이 질문
0
18
1
간단한 오타 제보입니다.
0
19
1
인가 코드 발급(프론트 vs 백)
0
28
2
질문 드립니다!
0
72
1
프론트 API 작업
1
77
2
agents와 commands에 대해 궁금한 점이 있습니다!
1
101
2
.claude 폴더 규칙 생성 방법
1
144
2
강의를 어떻게 보면 좋을 까요?
1
118
2
SKILLS.md나 agents 작성 문의
1
111
1
안녕하세요 강사님 데이터베이스 선택 질문있습니다!!
1
99
2
안녕하세요 질문있습니다.
1
90
1
강의를 듣던 중 궁금한 점 있어요
1
85
1
클로드 대신 제미나이 사용해도
1
596
2
claude 동작 결과값이 다를 경우 어떻게 해나가야 될지 모르겠습니다.
2
152
2
hooks가 동작하기 위한 내용이 없는 것 같아서 추가가 필요하지 않을까 싶습니다.
1
111
3
.claude폴더를 복붙해서 넣긴 넣었는데 궁금한 점이 생겼어요.
1
168
2
터미널에서 claude 입력 과정
1
81
1
.claude 안에 폴더 및 파일은 어떻게 생성하죠?
2
210
1