-
질문 & 답변
카테고리
-
세부 분야
백엔드
-
해결 여부
미해결
스프링 사용 관련 궁금한 사항이 생겨 질문드립니다
23.09.19 10:37 작성 조회수 243
0
스프링 사용 관련 궁금한 사항이 생겨 질문드립니다
토비님 안녕하세요~
오늘 아침에 웹프로그램 개발하다 갑자기 궁금한 사항이 생겼습니다
1. MVC 컨트롤러 를 이용 할 때
보안상 문제로 get을 사용하지 않고 post 만 작성 하는게
맞는것인지
웹프로그램을 개발 할 때
브라우저 url
에는 파라미터가 전혀 안보이는것이 보안상
최선인지 궁금합니다
토비님도, 스프링 mvc 를 이용해서 개발 하실때 모두 post 방식으로
request 를 하시는지 궁금합니다
(간혹 금융권 사이트에서는 url 부분에 파라미터가 안보였던거 같아서요.. )
2. 네이버/카카오/유튜브 open API 등을 누가나 사용 할 수 있는데요
나쁜 사용자가 악의적인 의도를 갖고 마구 request 호출 을 할 경우
서버 트랙픽을 방어 하려고 하면 스프링의 어느 기술을 이용해서
막을 수 있을 까요?
3. 스프링 프레임웍 안에서
뷰(프론트) 부분에 JSP / 타임리프 / php / react / vue
동시에 여러가지를 함께 쓸 수가 있나요?
감사합니다. 수고하세요
답변을 작성해보세요.
1
토비
지식공유자2023.09.19
간단히 답변 드릴게요. :)
전혀 아닙니다. get/post와 보안은 별 상관없습니다. Post만 사용하는 건 취향이나 정책이라면 가능합니다만 보안이 이슈가 될 수 없습니다. post로 보내도 바디나 헤더는 다 볼 수 있습니다.
스프링의 기술이 아닌 앞 단의 네트워크 장비, 보안 장비, WAF 등에서 차단하는 것으로 알고 있습니다. 스프링을 써서 억지로 만든다면 동일 사용자 또는 ip의 요청을 카운팅해서 일정 횟수 이상이면 이후에 거부하게 만들어야 하는데, 거부하는 것 자체도 서버 부하가 걸리므로 그런식으로 막아봤자 악의적으로 요청을 보내서 서버를 다운시킬 수 있습니다. 아무튼 막는 방법은 일반적으로 스프링과는 무관합니다.
네.
답변 1