CSRF
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격
CSRF(Cross-Site Request Forgery)는 사용자가 로그인된 상태에서, 공격자가 의도한 요청을 “사용자 브라우저로” 보내게 만드는 공격입니다.
왜 생기나요?
브라우저는 같은 사이트로 요청할 때 쿠키를 자동으로 붙입니다. 그래서 서버가 “요청이 진짜 사용자의 의도인지” 추가 검증을 하지 않으면 문제가 됩니다.
대표 방어
- CSRF 토큰
SameSite쿠키
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격
CSRF(Cross-Site Request Forgery)는 사용자가 로그인된 상태에서, 공격자가 의도한 요청을 “사용자 브라우저로” 보내게 만드는 공격입니다.
브라우저는 같은 사이트로 요청할 때 쿠키를 자동으로 붙입니다. 그래서 서버가 “요청이 진짜 사용자의 의도인지” 추가 검증을 하지 않으면 문제가 됩니다.
SameSite 쿠키