rest api 에서의 csrf
53
投稿した質問数 16
예제에서 처럼 html 을 response 하지 않고 rest api 를 통해 fe 와 통신하는 경우에도 csrf 를 사용하는 경우가 있을까요? 만약 있다면 어떻게 사용하는지도 알고 싶습니다.
回答 1
0
질문 주셔서 감사합니다.
REST API를 사용하는 경우는 두 가지로 생각할 수 있을 것 같아요.
1) 쿠키 기반 인증을 사용하는 API: 브라우져가 서버에게 받은 쿠키를 요청 헤더에 실어 보내는 구조이기 때문에 CSRF 공격에 취약할수 있습니다. 이를 보완하기 위해 CSRF 토큰으로 예방합니다.
2) 토큰 기반 인증을 사용하는 API: 브라우져에서 실행되는 자바스크립트 어플리케이션이 서버에게 받은 토큰 값을 요청 헤더에 '직접' 실어 보내는 구조라서 CSRF 공격에 덜 취약합니다.
하지만 브라우져에서 관련한 보안 조치를 지원하고(실습에서는 브라우져 설정을 변경함), 서버에서 쿠키를 발급할 때 보안 정책을 적용하기 때문에 어느정도 공격에 안전하다고 볼 수 있습니다.
강의자료 pdf
0
10
1
수강기간 연장 가능하실까요?
0
21
2
네트워크 전체 흐름 복습 질문
0
29
2
맥북으로 RDP 연결 질문
0
29
2
수강 연장 가능하면 요청 드립니다.
0
29
2
5.6버전 Networking Insights 실행안됨 문제에 관하여
0
30
1
침해사고 샘플분석 첫번째 파일 다운로드 불가
0
28
1
TLS 질문드립니다.
0
43
2
SpinLock과 컨텍스트스위칭에 대해 질문 남겨요.
0
47
2
Memory Pool에서 오버플로우 질문입니다.
0
64
2
가상화지원 에러
0
33
2
저는 왜 콘솔에서 props가 한 줄만 찍히나요?
0
47
1
'Inline 장비'는 보통 IP 주소가 존재하지 않나요?
0
31
0
Unity Span
0
76
2
포토폴리오 및 진로 관련하여 고민입니다.
0
112
1
실무에서 웹개발자가 명시적으로 선언하는 보안 정책의 범위 및 보안 정책 설정 위임 라이브러리
1
111
2
브라우저 내부 보안 정책 스코프에 대한 질문
1
67
1
ETag 사용시 서버의 성능 향상
1
68
2
next.js 와 SOP
1
65
2
사전 요청 관련 질문
1
59
2
하이잭킹 관련 문의
1
129
2
캐싱 관련 문의
1
111
1
TypeError: querystring is not a function 에러 나시는 분들
0
178
1
강사님은 어떤 책으로 HTTP 를 공부하셨나요?
0
270
1