CSRF(Cross Stie Request Forgery)
웹 애플리케이션 취약점 중 하나로 사용자가 자신의 의지와 무관하게 공격자가 의도한 행동을 하여 특정 웹페이지를 보안에 취약하게 한다거나 수정, 삭제 등의 작업을 하게 만드는 공격방법을 의미한다 - 나무위키
방어방법은?
- Referrer 검증
- CSRF Token 사용
- CAPTCHA 사용
스프링부트에서는 스프링 프레임워크의 시큐리티 태그 라이브러리를 사용하면 자동적으로 CSRF 토큰 검증을 실시한다.
XSS(Cross Site Scripting)
웹 브라우저에서 사용자가 입력 할수 있는 input태그 등에 악의적인 script를 작성하여 해당 contents를 이용하는 다른 이용자의 개인정보 및 쿠키정보 탈취, 악성코드 감염, 웹 페이지 변조등의 공격을 한다.
즉 자바스크립트 공격이다.
방어방법은?
스크립트 접근을 제한한다.
- 참고자료
https://velog.io/@codelog/XSS공격이란
https://sj602.github.io/2018/07/14/what-is-CSRF/
개발 및 취준 일지