피드로 돌아가기
the CSRF token
Dev.toDev.to
Security

SOP 기반 CSRF Token 도입을 통한 인증 세션 무단 탈취 및 위조 요청 방어

the CSRF token

Rouwel Ngacha2026년 5월 11일2beginner

AI 요약

Context

브라우저가 모든 요청에 Authentication Cookies를 자동으로 포함하는 메커니즘을 악용한 CSRF 공격 발생. 공격자가 설정한 악성 사이트를 통해 사용자 의도와 무관한 POST 요청을 서버로 전송하여 권한을 남용하는 보안 취약점 노출.

Technical Solution

  • Server-side에서 예측 불가능한 고유 값인 CSRF Token 생성 및 클라이언트에 전달
  • 사용자의 모든 상태 변경 요청 시 Form 데이터 내에 해당 Token을 반드시 포함하도록 설계
  • Server-side에서 수신한 요청의 Token 유효성을 검증하여 일치하지 않는 요청을 즉시 거부하는 필터링 로직 구현
  • Same-Origin Policy(SOP)를 활용하여 타 도메인에서의 Token 읽기 및 탈취 시도를 원천 차단하는 보안 계층 구성
  • Cookie 기반 인증의 한계를 보완하기 위해 요청 본문에 예측 불가능한 값을 추가 검증하는 2차 인증 구조 채택

실천 포인트

1. 상태 변경을 유발하는 모든 POST/PUT/DELETE API에 CSRF Token 검증 로직 적용 여부 확인

2. Token 생성 시 예측 불가능한 난수 생성기를 사용하여 Brute-force 공격 가능성 제거

3. SOP 설정을 통해 타 도메인에서 토큰에 접근할 수 없는 환경인지 검토

4. 세션 기반 인증 사용 시 Cookie의 SameSite 속성과 CSRF Token의 병행 사용 고려

태그

#CSRF#Same-Origin Policy#Authentication#Security Token#Session Management
원문 읽기