-
카테고리
-
세부 분야
백엔드
-
해결 여부
미해결
csrf 토큰 과 jwt 토큰
22.03.07 17:23 작성 조회수 1.64k
2
제가 jwt를 사용하고 싶은데
그런 경우에는 jwt를 사용하면 csrf 기능을 사용하면 안되는 건가요?
답변을 작성해보세요.
4
정수원
지식공유자2022.03.09
네
보통 csrf 은 세션/쿠기 기반의 보안관련 취약점을 이용하는 기법입니다.
그래서 jwt 과 같이 세션/쿠기가 아닌 토큰 기반으로 보안처리를 하는 경우에는 csrf 를 활성화 할 필요는 없습니다.
다만 jwt 를 쿠키에 저장해서 보안처리를 할 경우에는 csrf 에 취약한 부분이 발생하기 때문에 고려해야 하는 것은 맞습니다.
jwt 를 사용할 경우에는 대부분 세션은 사용하지 않기 때문에 csrf 기능은 비활성화 하는 것이 맞을 것 같습니다.
강의와 약간 벗어나는 주제라 상세한 답변을 해드리 지 못하는 점 양해 부탁드립니다.
답변 1