Spring Security - Rest API에 csrf protection을 사용하지 않는 이유

2022. 5. 2. 00:24Java/Spring

반응형

CSRF란

CSRF 링크

Rest API 에서 csrf를 disable하는 이유

CSRF의 취약점은 공격자가 사용자가 의도하지 않는 요청을 수행하게 하는 취약점입니다. 즉 공격자는 사용자가 가지고 있는 권한 범위 내에서 악의적인 행위를 할 수 있습니다. 일반적으로 해당 권한은 쿠키와 세션을 이용해서 인증을 하고 있기 때문에 발생하는 일입니다.
하지만 Rest API를 이용한 서버라면, session 기반 인증과는 다르게 stateless하기 때문에 서버에 인증 정보를 보관하지 않습니다. 일반적으로 jwt 같은 토큰을 사용하여 인증하기 때문에 해당 토큰을 Cookie에 저장하지 않는다면 csrf 취약점에 대해서는 어느 정도 안전하다고 말할 수 있습니다.

반응형

'Java > Spring' 카테고리의 다른 글

@Async 사용법  (0) 2023.07.31
Spring MVC  (0) 2021.11.02
Spring MVC와 WebFlux의 차이  (0) 2021.10.29
Spring Batch Chunk 지향 처리  (0) 2021.03.22
Spring + Hibernate Validator Custom Message  (0) 2020.09.15