SpringSecurity CSRF 토큰 관련 질문

2 글 보임 - 1 에서 2 까지 (총 2 중에서)

2024년 5월 4일 20:13 #122165

참가자

CSRF 토큰 관련 질문입니다.

1. hidden input으로 가려도 브라우저 F12 누르면 보이는데 해커가 가져다가 같이 요청할 수 있는 거 아닌가요?

2. 1번이 맞다면 컨트롤러로든, 타임리프 문법으로든 권한이 있는 사용자만 접근 가능하게 해야할 것 같은데,
그럼 권한이 여러개라면 CSRF 토큰도 여러 종류로 발행할 수 있나요?

강의 잘 듣고 있습니다 감사합니다!

2024년 5월 5일 09:51 #122219

키 마스터

넴 카피하면 통과 되는데 매번 요청마다 다른 토큰을 발급하거나 그러면 다른 사이트에서 자동으로 쉽게 카피할 수는 없습니다
다른사이트에서 폼위조하는걸 막는 기능일 뿐이라 권한이랑은 별 상관없습니다

2 글 보임 - 1 에서 2 까지 (총 2 중에서)

https://codingapple.com/wp-content/uploads/2019/06/logo2-3.png