Spring Project를 하던 중 회원가입 부분에서 Spring Security관련으로 CSRF 문제가 발생하였다.
CSRF
내가 이해한 csrf는 웹 어플리케이션 취약점 중 하나로 인터넷 사용자가 자신의 의도와 무관하게 공격자로 인해서 수정, 삭제, 등록등의 요청을 특정 웹사이트에 보내는 공격이다.
내가 회원가입 페이지를 만들었을 때 사용자가 사이트에서 id,pw를 입력하고 회원가입 요청을 보내는 옳은 요청을 할 수도 있지만, postman등과 같이 정상적이지 않은 방법으로 요청을 보내도 요청 url로 들어오면 Spring의 Controller는 그것이 올바른 요청인지 아닌지 확인 할 수 없다. 그래서 Spring Security는 자체적으로 input tag에 csrf 토큰을 발급하여 이 요청이 재대로 된 요청이란 것을 알게 해주는 방식을 사용한다.
