개발 기록

프로젝트 보안 취약점 점검 중 CSRF 토큰이 없다는 경고를 받았다. CSRF 란 특정 사이트에서 유저가 보내는 요청을 조작하는 공격이다. CSRF Token은 클라이언트가 유효함을 알릴 수 있는 일종의 보안카드이다. 1. 서버는 클라이언트에게 CSRF Token 발급 2. 클라이언트는 서버에 Request 시, 발급 받은 Token 첨부 3. 서버가 Token을 검증하고 정상적으로 Request를 처리 Spring Security 에서는 @EnableWebSecurity 어노테이션을 지정할 경우 자동으로 CSRF 방어 기능을 지원하고 있다. 따라서 자동으로 활성화 되어야 하는 CSRF 방어가 안되고 있던 것. (security 3.2.0 부터 csrf 방어 지원) Security Config 파일로 이..