[Security] CSRF 란?

CSRF (Cross-Site Request Forgery)

• 사용자가 로그인 상태를 악용해서 공격자가 의도한 요청을 서버에 대신 보내게 만드는 공격

 

어떻게 공격이 되는지?

1. 사용자가 서비스에 로그인 (쿠키로 인증)

2. 사용자가 공격자 사이트를 방문

3. 공격자 사이트에 이런 코드가 있음

<form action="https://our-service.com/api/users/withdraw" method="POST">
  <input type="hidden" name="amount" value="1000000">
</form>
<script>document.forms[0].submit()</script>

4. 브라우저는 쿠키를 자동으로 같이 전송

5. 서버는 정상 로그인 사용자 요청으로 오해

 

CSRF 성립 조건

• 인증 수단이 쿠키 기반일 것
• 브라우저가 자동으로 인증 정보 전송할 것

세션 + 쿠키	✅ 반드시 필요
JWT + Header	❌ 불필요
순수 REST API	❌ disable