CSRF(Cross Site Request Forgery)

✒️ 2025-05-22 15:35 내용 수정

사용자가 의도치 않게 공격자가 의도한 행동을 하게 만드는 공격

• cookie를 통한 인증 방식에서 사용되는 공격이다.
• 특정 페이지에 접속 시 자동으로 사용자의 정보를 공격자에게 보내는 등의 동작이 실행될 수 있어 주의해야 한다.
  • 사용자의 의지와 상관없이 데이터가 변경되거나 보호된 자원에 접근할 수 있기에 주의해야 한다.
• 주로 상태를 변경하는 POST, PUT, DELETE 요청에 영향을 미치기 때문에 악의적인 요청으로부터 보호해야 한다.
  • GET 요청은 데이터를 조회하기 위해 사용되어 서버나 DB의 상태를 변화 시키지 않는다.
  • 만약 GET 요청이 상태 변화를 일으키면 RESTful 설계 원칙에 어긋나 취약점을 유발할 수 있다.
• CSRF 토큰을 사용하거나, cookie 속성에 sameSite 설정을 Strict 또는 Lax로 사용하거나, CORS 설정 등을 사용하여 방지할 수 있다.
• 참고 자료 : mdn web docs Set-Cookie, stackoverflow samesite option difference