CSRF란 무엇인가? 방어기법?

Django를 이용하여 웹사이트를 만들때 POST로 요청을 보내면 CSRF 토큰이 존재하지 않는다며 에러가 났던적이 있다.

CSRF 토큰을 form 사이에

{% csrf_token %}

와 같이 추가만 해도 해결되는 문제였는데 이것이 무엇인지 궁금하여 포스팅하게 되었다.

 

 

CSRF(Cross Site Request Frogery)란 사용자가 자신의 의지와 상관없이 공격자(해커)가 의도한 대로 수정,등록,삭제 등의 행위를 웹사이트에 요청하게 하는 공격이다.

이러한 공격을 막기위한 방법이 있다.

 

1. Referrer 검증

Referrer 검증은 Backend에서 request의 referrer를 확인하여 도메인이 일치하는지 검증하는 방법이다.

일반적으로 referrer 검증만으로 대부분의 CSRF공격을 방어할 수 있다.

 

2. Security Token 사용 (A.K.A CSRF Token)

사용자의 세션에 임의의 난수값을 저장하고 사용자의 요청마다 해당 난수값을 포함시켜 전송시킨다.

Backend에서 요청을 받을때마다 세션에 저장된 토큰값과 요청 파라미터에 전달되는 토큰값이 일치하는지 검증하는 방법이다.

이미지 출처 : https://itstory.tk/entry/CSRF-%EA%B3%B5%EA%B2%A9%EC%9D%B4%EB%9E%80-%EA%B7%B8%EB%A6%AC%EA%B3%A0-CSRF-%EB%B0%A9%EC%96%B4-%EB%B0%A9%EB%B2%95

참조 : https://namu.wiki/w/CSRF

CSRF - 나무위키

https://itstory.tk/entry/CSRF-%EA%B3%B5%EA%B2%A9%EC%9D%B4%EB%9E%80-%EA%B7%B8%EB%A6%AC%EA%B3%A0-CSRF-%EB%B0%A9%EC%96%B4-%EB%B0%A9%EB%B2%95

CSRF 공격이란? 그리고 CSRF 방어 방법