CSRF

Web application Security란?

개발자들이 웹사이트, 모바일 어플, 웹 API 등을 만들때 해커들의 공격을 막기 위해서 사용하는 보안 필수사항

공격 종류

• SQL injection
• XSS
• CSRF

CSRF

다른 사이트에서 유저가 보내는 요청을 조작하는 것

해커가 직접 데이터에 접근할 수 없다는 특징이 있음

공격 조건

유저가 로그인 했을때 쿠키로 어떤 유저인지 알 수 있어야 함

예측할 수 있는 요청 or parameter를 가지고 있어야 함

막는방법

• CSRF 토큰 사용하기 서버측에서 CSRF 공격에 보호하기 위한 문자열을 유저의 브라우저와 웹 앱에만 제공
• Same-site cookie 사용하기 같은 도메인에서만 세션, 쿠키를 사용할 수 있다