Hello

53. XSS와 CSRF

by 볼빵빵오춘기

강의 따라하기/blog

xss

자바스크립트 공격

 

CSRF

 

스트링쿼리로 해당 id에 point를 주는 쿼리가 있다고 가정해보자.

 

  1. admin(관리자 등급)인 사람만 가능한건데 잘 막았다고 생각할 수 있는데 
  2. 게시판에 글을 쓰는데 제목은 ‘관리자님 급해요’ 써져있길래 들어갔는데
  3. 내용엔 하이퍼링크가 걸려있는 이미지 가 있고
  4. 내용에 이미지좀 클릭해주세요. 이런식으로 되어있어
  5. 관리자가 해당 이미지를 눌러 클릭을 하는데 주소가 하이퍼링크에 위에 주소가 있다고 생각하면
  6. 관리자가 클릭함으로써 위의 주소가 실행이된다.

따라서 이런 문제를 막기위해서는 post방식으로 요청하자!

아니면 CSRF를 방어한다.

 

위에 보면 CSRF Token 사용 하라고 되어있는데 왜 우리는 SecurityConfig에 csrf를 비활성화 시켰는가??

form태그를 그냥 넘겨서 요청을 했으면 모를까 우리는 form태그 지나서 js지나서 요청을 한다.

js에는 csrf토큰이 없기때문에 막히기 때문이다.

 

 

저작자표시 변경금지

'강의 따라하기 > blog' 카테고리의 다른 글

55. 글쓰기 완료  (0) 2024.01.04
54. 스프링 시큐리티 로그인  (1) 2024.01.04
52. 비밀번호 해쉬 후 회원가입하기  (0) 2024.01.03
51. 스프링시큐리티 로그인 페이지 커스터마이징  (0) 2024.01.03
50. 스프링 시큐리티 체험해보기  (0) 2024.01.03

블로그의 정보

Hello 춘기's world

볼빵빵오춘기

활동하기

티스토리툴바