[BE보안]CSRF & XSS

Wintering·2022년 6월 17일
0

내일배움캠프

목록 보기
15/17

CSRF

CSRF(Cross Site Request Forgery)

<form action="http://myService.com/draw" method="post">
	<input type="hidden" name="sendId" value="피해자아이디" />
	<input type="hidden" name="recId" value="해커아이디" />
	<input type="hidden" name="money" value="1000000000" />
	<input type="submit" value="야동... Click Me"/>
</form>
  • JWT를 사용하면 http 에 header에 추가하게 되므로 방어가 가능 (form은 header에서 조작 불가)
  • 서버에서 발급한 access token(jwt)는 클라이언트에만 저장된다.
  • cookie에 저장해도 httpOnly가 아니면 자동적으로 cookie를 전송하지 않음

XSS

0개의 댓글