CSRF(Cross-Site Request Forgery) 공격

 CSRF 공격(Cross Site Request Forgery) : 

 웹 애플리케이션의 취약점 중 하나로 인터넷 사용자(희생자)가
 자신의 의지와는 무관하게 공격자가 의도한 행위(수정,삭제,등록 등)을
 특정 웹사이트에 요청하게 만드는 공격

 

 - > 토큰인증방식으로 막는다.(Interceptor 활용)

우리 사이트에서 요청이 들어온건지 토큰으로 확인.

 

ex. 게시판에서는 

1.CreateTokenInterceptor에서  게시글 상세보기 페이지 이동 시 csrf_token 발급 -세션에 저장

2. 상세보기 페이지에서 수정, 삭제 요청시 csrf_token 같이 전달.(request에 저장)

3. CheckTokenInterceptor 에서 session의 csrf_token과 request에서 전달된 csrf_token 비교