csrf 토큰 과 jwt 토큰

Question

제가 jwt를 사용하고 싶은데  그런 경우에는 jwt를 사용하면 csrf 기능을 사용하면 안되는 건가요?

Answer

네

보통 csrf 은 세션/쿠기 기반의 보안관련 취약점을 이용하는 기법입니다.

그래서 jwt 과 같이 세션/쿠기가 아닌 토큰 기반으로 보안처리를 하는 경우에는 csrf 를 활성화 할 필요는 없습니다.

다만 jwt 를 쿠키에 저장해서 보안처리를 할 경우에는 csrf 에 취약한 부분이 발생하기 때문에 고려해야 하는 것은 맞습니다.

jwt 를 사용할 경우에는 대부분 세션은 사용하지 않기 때문에 csrf 기능은 비활성화 하는 것이 맞을 것 같습니다.

강의와 약간 벗어나는 주제라 상세한 답변을 해드리 지 못하는 점 양해 부탁드립니다.