• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    해결됨

csrf 필터 질문

20.10.04 12:01 작성 조회수 136

0

안녕하세요. 강의를 듣던 중 의문이 생겨 질문합니다.

csrf 토큰을 이용해 현재 들어온 요청이 악의적인 사이트로부터 온 요청이 아닌 것을 검증한다라는 개념은 이해할 수 있었는데요. 아래 시나리오로 악의적인 form 페이지를 생성해도 csrf 필터가 악의적인 요청을 구별할 수 있는지 궁금합니다.

0. 모든 도메인에 대한 cors 요청은 열려 있다고 가정

1. 악의적인 사이트에 사용자가 접속

2. 악의적인 사이트는 실제 form 페이지를 요청

3. 실제 form 페이지에서 csrf 토큰 파싱 & 위조 form 페이지에 csrf 토큰 삽입

4.  사용자에게 위조 form 페이지 제공

course-thumbnail

스프링 시큐리티

CSRF 어택 방지 필터: CsrfFilter

강의실 바로가기

답변 2

·

답변을 작성해보세요.

1

백기선님의 프로필

백기선

지식공유자

2020.10.05

3번의 과정이 어떻게 벌어질지 구체적으로 설명해 주실 수 있으실까요? A라는 유저가 띄운 폼에 있는 CSRF 토큰 값을 악의적인 사이트의 폼에서 어떻게 읽어갈 것이며, 유저마다 폼마다 달라지는 CSRF 값을 어떻게 악의적인 사이트의 폼 페이지에 CSRF 토큰으로 삽입할 수 있을까요?

0

쿠크다스님의 프로필

쿠크다스

질문자

2020.10.05

아 그렇네요. 유저마다 csrf 토큰이 다르게 발급되군요;; 실제로 html에 존재하는 csrf 토큰을 이전에 발급되었던 csrf 토큰으로 변경해서 인증 요청을 하니 인증이 되지 않네요...

답변 감사합니다ㅎㅎ

이 글과 비슷한 Q&A