csrf & cors
CSRFとCORSはSpring Securityをセットした時に出会った2人のやつで、この2つの名前が似ているやつを整理したいと思っています.
SOP
Single-Origin Policy
リソースリクエストを他のソースに制限するポリシーと、リソースリクエストを許可するポリシーの2つがあります.これは
CSRF
クロスサイトリクエスト転送、サイト間リクエストの偽造
CSRFはハッカーがウェブサイトに登録したユーザーに対して操作を強制する攻撃である.このため、CSRF攻撃は以下の条件を満たしてこそ可能となる.ユーザーはハッカーによって作成されたネット釣りサイト に接続されている.ユーザーは、インスタグラム、Facebookなどの偽造要求を送信するサイトにログインします.
CSRF攻撃プロセス 犠牲者は偽造要求を送信したサイトに登録し、ハッカーが作成したネット釣りサイトに登録した. 犠牲者がインターネットに登録されると、インターネット上で犠牲者と偽って、偽造して請求する. の偽造要求を受けたサイトは、その要求に応答し、被害者の無意識な行為を実行する.
防御方法 Referler検証 リクエストヘッダのリクエストに対して、1ページの情報を含むrefernerプロパティを検証し、切断します. のようなドメインにリクエストがなければ、リクエストを切断することができます. CSRF Tokenを使用
これは、 の乱数をユーザセッションに保存し、ユーザのすべての要求をサーバ側で検証する方法である. CATCHAの使用 の画像が表示され、その画像に対応する文字/デジタル/画像ではない場合、要求は拒否される. CORS
Cross-Originリソース共有、ソース間共有リソース
既存のブラウザポリシーでは、異なるドメインからのリソースが必要でない限り、他のドメインのリソースを安全な異種としてインポートできません.
SOP, Single-Origin Policy
リソースリクエストを他のソースに制限するポリシーと、リソースリクエストを許可するポリシーの2つがあります.これは
CORS違反の解決方法
CORSポリシー違反の問題を解決する最も代表的な方法は、サーバ上で
ワイルドカード
そのため、最も
SOP
Single-Origin Policy
リソースリクエストを他のソースに制限するポリシーと、リソースリクエストを許可するポリシーの2つがあります.これは
SOP 은 같은 출처에서만 리소스를 공유할 수 있다
のルールを持つ政策です.CSRF
クロスサイトリクエスト転送、サイト間リクエストの偽造
CSRFはハッカーがウェブサイトに登録したユーザーに対して操作を強制する攻撃である.このため、CSRF攻撃は以下の条件を満たしてこそ可能となる.
CSRF攻撃プロセス
...
<img src="http://auction.com/changeUserAcoount?id=admin&password=admin" width="0" height="0">
...
上記のラベルのついたコードのメールを送信すると、画像サイズが0になるので、全くわかりません.被害者が電子メールを開くと、URLが開いて画像ファイルを受信し、idとpwはadminに変更されます.防御方法
これは、
// 로그인시, 또는 작업화면 요청시 CSRF 토큰을 생성하여 세션에 저장한다.
session.setAttribute("CSRF_TOKEN",UUID.randomUUID().toString());
// 요청 페이지에 CSRF 토큰을 셋팅하여 전송한다
<input type="hidden" name="_csrf" value="${CSRF_TOKEN}" />
Cross-Originリソース共有、ソース間共有リソース
既存のブラウザポリシーでは、異なるドメインからのリソースが必要でない限り、他のドメインのリソースを安全な異種としてインポートできません.
SOP, Single-Origin Policy
リソースリクエストを他のソースに制限するポリシーと、リソースリクエストを許可するポリシーの2つがあります.これは
SOP 은 같은 출처에서만 리소스를 공유할 수 있다
のルールを持つ政策です.CORS
は、ドメインが他のドメインのリソースを要求することを可能にする.ただし、他のドメインのリソースを使用するには、リクエストをプロトコルで完了する必要があります.CORS違反の解決方法
CORSポリシー違反の問題を解決する最も代表的な方法は、サーバ上で
Access-Control-Allow-Origin
ヘッダーに適切な値を設定することです.ワイルドカード
*
を入れると、すべてのURLからのリクエストが受信されることを意味します.そのため、簡単ですが安全な深刻な問題が発生する可能性があります.そのため、最も
Access-Control-Allow-Origin:https://www.naver.com
のように出典を明記します.Reference
この問題について(csrf & cors), 我々は、より多くの情報をここで見つけました https://velog.io/@chullll/csrf-corsテキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol