CSRF(Cross-Site Request Forgery) 토큰의 방어 원리는?

보통 MDN Web Docs

보기 및 정답

A 서버가 매 요청마다 고유한 토큰을 생성하여 폼에 포함시키고, 요청 시 토큰을 검증하여 외부 사이트에서의 위조 요청을 차단한다

B 사용자의 비밀번호를 매 요청마다 확인하여 인증하고, 비밀번호가 일치하지 않으면 해당 요청을 자동으로 차단한다

C 모든 POST 요청을 기본적으로 차단하고, 관리자가 화이트리스트에 등록한 특정 엔드포인트만 허용하는 방식이다

D 쿠키를 사용하지 않도록 하여 세션 기반 인증을 완전히 제거하고 모든 HTTP 요청을 무상태(stateless) 방식으로 처리한다

CSRF 토큰은 서버가 생성한 예측 불가능한 고유 값을 폼의 hidden 필드에 포함시킵니다. 공격자는 이 토큰을 알 수 없으므로, 외부 사이트에서 위조 요청을 보내도 토큰 검증에 실패하여 차단됩니다.

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

로그인