크로스 사이트 요청 포젤리(CSRF) 개요

크로스 사이트 요청 포제리 (CSRF)에 대한 요약.

CSRF란?

본래 거부해야 할 무관한 웹 앱으로부터의 요청을 수신·처리해, 유저가 의도하지 않은 처리를 행하게 하는 공격 수법.

사용자의 의도하지 않은 웹 앱에서 처리 수행

본래는 로그인 유저만이 허가되는 기사의 투고 처리 등.

원타임 토큰의 이용 ※추천

정규의 발신원인지를 할당한 일회성 토큰에 의해 판정한다.

처리 흐름

웹 앱 A는 요청 전에 클라이언트에 대해 일회성 토큰을 생성한다.

클라이언트는 지정된 일회성 토큰을 부여하여 요청을 실행한다.

웹 앱 A는 세션에 저장된 일회성 토큰과 전송된 일회성 토큰이 일치하는지 확인한다(일치하지 않으면 요청을 수락하지 않음).

사용자 재인증

중요한 조작 전에 로그인 인증을 다시 수행하는 단계를 추가하십시오.

사용성이 떨어진다.

리퍼러(참조 URL) 확인

HTTP 요청 헤더의 리퍼러를 확인하고 허용할 소스로부터의 요청인지 확인한다.

리퍼러는 재기록 가능.

이 문제에 관하여(크로스 사이트 요청 포젤리(CSRF) 개요), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/KWS_0901/items/bc78c2b7611e258b66ef

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다