반응형
JWT 사용시 csrf.disable()를 한다.
Cross-Site Request Forgery
이용자가 의도하지 않은 요청을 통한 공격을 의미한다.
즉, CSRF 공격이란, 인터넷 사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(등록, 수정, 삭제 등)를 특정 웹사이트에 요청하도록 만드는 공격이다.
- session, cookie를 이용하는 경우, 서버에서 사용자가 올바른지 검증하게 된다. 서버에서 검증을 진행하다보니 의도하지않은 공격이 있는지 확인하는 절차가 필요하지만,
JWT의 경우 토큰값에 정보들이 들어있어 서버에서 별다른 검증이 필요하지않으므로 csrf를 disable해도 무방하다.
- spring security에서도 권장함
반응형
'프로그래밍 > SpringBoot' 카테고리의 다른 글
| [Spring boot] @Transactional의 예외처리 (checked, Unchecked Exception) (0) | 2022.11.16 |
|---|---|
| [Spring boot 강의] #2 스프링부트 HTTPS / HTTP2적용하기 (0) | 2020.03.05 |
| [Spring boot 강의] #1 Spring Boot 프로젝트 실행하기 (0) | 2020.02.27 |