<p><b><span data-ke-size="size18">CSRF</span></b></p><p style="text-align: start;"><span data-ke-size="size18">- Cross site Request forgery로 사이즈간 위조 요청인데, 즉 정상적인 사용자가 의도치 않은 위조요청을 보내는 것을 의미한다.</span></p><p style="text-align: start;"><span data-ke-size="size18">- 예를 들어 A라는 도메인에서, 인증된 사용자 H가 위조된 request를 포함한 link, email을 사용하였을 경우(클릭, 또는 사이트 방문만으로도), A 도메인에서는 이 사용자가 일반 유저인지, 악용된 공격인지 구분할 수가 없다.</span></p><p style="text-align: start;"><span data-ke-size="size18">- CSRF protection은 spring security에서 default로 설정된다. 즉, protection을 통해 GET요청을 제외한 상태를 변화시킬 수 있는 POST, PUT, DELETE 요청으로부터 보호한다.</span></p><p style="text-align: start;"><span data-ke-size="size18">- csrf protection을 적용하였을 때, html에서 다음과 같은 csrf 토큰이 포함되어야 요청을 받아들이게 됨으로써, 위조 요청을 방지하게 됩니다.</span></p><p> </p><p><span data-ke-size="size18"><input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/></span></p><p> </p><p><b><span data-ke-size="size18">Rest api에서의 CSRF</span></b></p><p style="text-align: start;"><span data-ke-size="size18">- 그래서 이렇게 보안 수준을 향상시키는 CSRF를 왜 disable 하였을까? spring security documentation에 non-browser clients 만을 위한 서비스라면 csrf를 disable 하여도 좋다고 한다.</span></p><p style="text-align: start;"><span data-ke-size="size18">- 이 이유는 rest api를 이용한 서버라면, session 기반 인증과는 다르게 stateless하기 때문에 서버에 인증정보를 보관하지 않는다. </span></p><p style="text-align: start;"><span data-ke-size="size18">- rest api에서 client는 권한이 필요한 요청을 하기 위해서는 요청에 필요한 인증 정보를(OAuth2, jwt토큰 등)을 포함시켜야 한다. 따라서 서버에 인증정보를 저장하지 않기 때문에 굳이 불필요한 csrf 코드들을 작성할 필요가 없다.</span></p>
<!-- -->
