핵심 요약
현대자동차의 FrontEnd 보안 글은 CSRF의 개념과 이를 차단하기 위한 다양한 구현 방법을 정리하며 적용 시 고려점을 제시합니다.
구현 방법
- 토큰 기반 방어: 세션별 토큰 발급 및 서버 대조
- Double Submit 쿠키: 쿠키와 폼 토큰을 함께 전송해 비교
- SameSite 쿠키: SameSite=Strict/Lax/None 설정(기본은 Lax)
- Origin 헤더 검사: API 서버에서 출처 확인으로 무허가 요청 차단
- CORS 활용: 필요한 경우 Preflight 및 출처 제어
- 운영 시 주의점: 프런트-백엔드 분리 시 설계 필요
주요 결과
다양한 방어책의 비교와 적용 시나리오를 제시하고, 피싱 대응 및 교차 출처 차단 설계에 도움을 줍니다.
