uncategorized

10. CSRF 와 XSS

XSS

자바스크립트를 공격!
글 쓰기 같은 내용에 스크립트 태그로 잔뜩 연산시키는 공격.
보통 태그를 작성 못하게 막는데, Lucy XSS filter로 막을 수 있다.

CSRF

쿼리 파라미터로 특정 데이터를 조작할 수 있는 URI가 있을 때,
보통 시큐리티로 관리자만 접근 가능하게 해놓는데,
해커가 자신의 뜻대로 작성한 URI를 관리자가 클릭하게 만드는 행위.

이런 행위를 막기 위해서는 데이터를 조작하는 URI는 GET방식이 아닌 POST방식을 하는게 좋다.

혹은 CSRF 토큰을 사용한다.
사용자가 요청하면 토큰을 생성해 세션에 저장한다.
사용자는 요청할때마다 토큰을 보내서 서버가 이를 확인하고 정상임을 알아차린다.

Share