-
Spring boot: (링크) 우리는 왜 csrf 설정을 꺼놓게 되었을까요?Spring Boot 🍃 2023. 12. 18. 00:01
https://gisungcu.tistory.com/415?category=1081268
결론 퍼옴 )
Rest API에서 CSRF를 방어하지 않는 이유는..
(쿠키 없음 = CSRF 없음, REST = 상태 비저장, REST ≠ 쿠키 없음 -> Http only)
즉 Rest API는 state less이기 때문에 csrf를 방어하지 않는다는 것,
단 로그인 등의 정보를 cookie로 관리할 경우 cookie는 Http only로 방어되어야 된다는 것.
즉 cookie가 안전할 경우에만 csrf를 방어하지 않아도 된다는 것입니다.
user정보가 필요하다면 token에서 정보를 얻는 것이 아닌 API콜을 한번 더 해서 얻을 수 있겠습니다.
'Spring Boot 🍃' 카테고리의 다른 글
(링크) spring cloud gateway (0) 2023.12.18 Spring Boot: (링크) JWT - Access Token 과 Refresh Token (0) 2023.12.18 Spring boot : (링크) @Component 와 @Configuration 차이 (0) 2023.12.18 Spring Boot : IntelliJ http 테스트시 MultipartFile 전송 (링크) (0) 2023.12.17 Spring Boot : SecurityConfig.java 정리 (0) 2023.12.17