이전에 했던 프로젝트에서 작성했던 코드를 보고 제대로 정리하지 않았던 것 중 CORS 가 있었다. CORS ( Cross-Origin Resource Sharing ) 란? 서로 다른 도메인 간 통신을 할 때, 서로 다른 출처를 가지고있기 때문에 보안적인 측면에서 통신이 허용되지 않는다. 통신을 위해서는, 요청 헤더 Origin 필드에 요청 출처를 함께 담아 교차 출처 HTTP 요청을 실행해야 한다. 출처를 비교하는 로직은 서버에 구현된 스펙이 아닌 브라우저에 구현된 스펙 기준으로 처리되며 브라우저는 클라이언트의 요청 헤더와 서버의 응답 헤더를 비교해서 최종 응답을 결정한다. 두 개의 출처를 비교하는 방법은 URL 의 구성 요소 중 Protocol, Host, Port 이 세 가지가 동일한 지만 확인한다..
이번에는 시큐어코딩을 하기위한 XSS 를 예방하는 코드에 대해서 정리를 할 것이다. XSS(Cross-site scripting) 란? XSS 는 웹 애플리케이션에서 많이 나타나는 취약점 중 하나로, 공격자가 신뢰할 수 있는 응용 프로그램이나 웹 사이트의 코드에 악성 실행 가능 스크립트를 삽입하는 공격이다. 공격자는 종종 사용자에게 악성 링크를 보내고 사용자가 링크를 클릭하도록 유도하여 XSS 공격을 시작한다. 앱이나 웹사이트에 적절한 데이터 삭제가 없는 경우 악성 링크는 공격자가 선택한 코드를 사용자 시스템에서 실행하고, 결과적으로 공격자는 사용자의 활성 세션 쿠키를 훔칠 수 있게 된다. - XSS 공격 유형 1. Reflected XSS : 악성 스크립트가 웹 애플리케이션에서 피해자의 브라우저로 반영..
CSRF(Cross Site Request Forgery) 란 '사이트 간 요청 위조' 의 줄임말로, 웹 애플리케이션 취약점 중 하나로 사용자가 자신의 의지와 무관하게 공격자가 의도한 행동을 해서 특정 웹페이지를 보안에 취약하게 한다거나 수정, 삭제 등의 작업을 하게 만드는 공격 방법이다. 해커들은 링크나 이미지 클릭을 유도해 사용자의 정보를 얻거나, 해커 본인들의 데이터로 다시 전송하는 등의 공격을 수행한다. Spring 에서 이를 어떻게 처리할까 ? 1. REST API 설계 시, CSRF 나는 REST API로 프로젝트를 하게되면, spring security에서 CSRF 를 자동으로 활성화하여 POST 요청 시 에러가 발생하기 때문에 줄곧 disable 처리를 해왔는데, 왜인지는 고민해보지 않았던..
