Spring boot: (링크) 우리는 왜 csrf 설정을 꺼놓게 되었을까요?

김아무개·2023년 11월 6일
0

Spring Boot 🍃

목록 보기
87/95

https://gisungcu.tistory.com/415?category=1081268

결론 퍼옴 )

Rest API에서 CSRF를 방어하지 않는 이유는..

(쿠키 없음 = CSRF 없음, REST = 상태 비저장, REST ≠ 쿠키 없음 -> Http only)

즉 Rest API는 state less이기 때문에 csrf를 방어하지 않는다는 것,

단 로그인 등의 정보를 cookie로 관리할 경우 cookie는 Http only로 방어되어야 된다는 것.

즉 cookie가 안전할 경우에만 csrf를 방어하지 않아도 된다는 것입니다.

user정보가 필요하다면 token에서 정보를 얻는 것이 아닌 API콜을 한번 더 해서 얻을 수 있겠습니다.

profile
Hello velog! 

0개의 댓글