- Today
- Total
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Tags
- TMIL
- javascript
- MariaDB
- 오늘도 개발자가 안된다고 말했다
- Err-Handling
- CSS
- react
- 에러핸들링
- LEVEL 2
- LEVEL 1
- TWIL
- Refactoring
- Git
- java
- First Project
- LEVEL1
- mongodb
- 코딩테스트
- 배포
- 프로그래머스
- 코어 자바스크립트
- 면접을 위한 cs 전공지식 노트
- Docker
- sql
- CRUD
- TIL
- 아고라스테이츠
- 알고리즘
- 리팩터링 2판
- typescript
Archives
성장에 목마른 코린이
CSRF (Cross Site Request Forgery) 본문
728x90
CSRF (Cross Site Request Forgery)
다른 사이트에서 유저가 보내는 요청을 조작하는 것
ex) 이메일에 첨부된 링크를 누르면 내 은행 계좌의 돈이 빠져나감
해커가 직접 데이터를 접근할 수 없다
ex) 다른 오리진이기 때문에 response에 직접 접근할 수 없음
CSRF 공격을 하기 위한 조건
1. 쿠키를 사용한 로그인 - 유저가 로그인 했을 때, 쿠키로 어떤 유저인지 알 수 있어야 함
2. 예측할 수 있는 요청을 가지고 있어야 함 - request에 해커가 모를수 있는 정보가 담겨있으면 안됨
CSRF를 막는 방법
1. CSRF 토큰 사용하기 - 서버 측에서 CSRF 공격에 보호하기 위한 문자열을 유저의 브라우저와 웹 앱에만 제공.
2. Same-site cookie 사용하기 - 같은 도메인에서만 세션/쿠키를 사용할 수 있다.
'CodeStates > Section 3 (백엔드)' 카테고리의 다른 글
Session (인증 성공 상태) (0) | 2022.04.19 |
---|---|
Token (토큰) (0) | 2022.04.19 |
Cookie (서버에서 클라이언트에 데이터 저장) (0) | 2022.04.18 |
Hashing, Salting (암호화) (0) | 2022.04.18 |
HTTPS (0) | 2022.04.18 |
Comments