예시로 들어주신 상황에 대한 의문점이 있습니다.

Question

- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요!
- 먼저 유사한 질문이 있었는지 검색해보세요.
- 서로 예의를 지키며 존중하는 문화를 만들어가요.
- 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.

여기서는 공격자가 이미지 태그를 이용해서 특정 주소로의 요청을 보내도록 유도하는 것 같은데, 이 경우에는 GET 메서드로 요청을 보내므로 따로 csrf 토큰을 검사하지 않으니, 여전히 공격에 취약하다고 봐야 하지 않나요?

Answer

네

예시로 보여준 것은 GET 이지만 보통 서비스에서 어떤 값을 저장, 삭제, 업데이트 하는 API 는 GET 이 아닌 POST 만 가능하도록 설계합니다. 그렇지 않으면 애초 설계부터 잘 못된 것이라 할 수 있습니다.

그래서 GET 으로 공격하면 요청 프로토콜 부터 서비스에서 차단될 것이기 때문에 CSRF 와는 별개로 공격이 실패 할 것입니다.

해당 강의의 요점은 CSRF 의 취약점을 시큐리티가 어떻게 대비하고 있는지에 대한 설명으로 이해해 주시면 될 것 같습니다.