현
현대자동차
August 7, 20241회
FrontEnd 개발에서의 보안 - CSRF
간단 소개
CSRF 공격의 개념과 다양한 방어 기법(토큰 사용, Double Submit 쿠키, SameSite 쿠키, Origin 헤더, CORS)을 설명합니다.
AI Summary
- CSRF(Cross Site Request Forgery) 공격 이해
- CSRF는 공격자가 함정을 이용하여 웹 애플리케이션을 공격자의 의도대로 동작하게 만드는 수동적 공격이다.
- XSS와 달리 스크립트 실행이나 요청 생성은 불가하지만, 로그인된 사용자의 권한을 악용하여 송금, SNS 업로드 등의 기능 수행이 가능하다.
- 피싱 사이트를 통해 사용자의 세션 정보를 탈취하여 악의적인 요청을 보내는 방식으로 공격이 이루어진다.
- CSRF 공격 방어 방법
- 토큰을 사용하여 각 세션마다 고유한 토큰을 발급하고, 서버에서 요청 시 토큰 일치 여부를 확인한다.
- Double Submit 쿠키 방식을 사용하여 서버에 토큰을 저장하지 않고, 쿠키와 요청 헤더/바디에 토큰을 함께 전송하여 검증한다.
- SameSite 쿠키를 설정하여 쿠키 전송 범위를 제한하고, Origin 헤더를 통해 허가되지 않은 출처의 요청을 차단한다.
- CORS를 활용하여 Preflight Request를 통해 요청의 유효성을 검사할 수 있지만, 성능에 영향을 줄 수 있으므로 신중하게 고려해야 한다.
Next Feeds
사내 공통 목서버로 카카오페이 테스트 진입 장벽 낮추기
카카오페이는 오픈소스 MockServer 기반 사내 공통 목서버를 구축하여 테스트 효율성을 높이고 서비스 안정성을 향상시켰습니다.
목서버MockServer테스트카카오페이SRE
2024. 8. 7.
카카오페이
Vertex AI Search를 활용한 결과 없는 검색 개선하기
컬리는 Vertex AI Search를 도입하여 검색 기능을 개선하고 A/B 테스트 결과 긍정적인 성과를 얻었으며, 향후 금칙어 관리 및 모델 개선을 계획하고 있다.
Vertex AI Search검색 개선AI 검색A/B 테스트NR(No Result)
2024. 8. 7.
컬리
엔지니어컷 #3. 미래를 여는 열쇠, '인사이트'란 무엇인가?
미래 모빌리티 시대에 필요한 인사이트의 중요성과 확보 방안, 그리고 공유를 통한 새로운 가능성 제시.
인사이트모빌리티SDV기술 융합협업
2024. 8. 6.
현대자동차
DASH 2024,올리브영은 어떻게 Datadog으로 비즈니스를 모니터링하는가?
올리브영은 Datadog을 통해 비즈니스와 인프라를 통합 모니터링하고, 데이터 기반 의사결정 문화를 구축하여 사업 성장을 이끌고 있습니다.
Datadog모니터링MSA클라우드APM
2024. 8. 5.
올리브영
고성능을 위한 ZIO 튜닝
ZIO 애플리케이션의 성능 튜닝 기법을 소개합니다. 런타임 플래그, 병렬 처리, Executor 설정, Datadog 최적화 등을 다룹니다.
ZIO튜닝성능병렬처리Executor
2024. 8. 5.
데브시스터즈
갈바닉부식 시뮬레이션 기법 개발기
자동차 부품의 방청 성능 확보를 위한 갈바닉 부식 시뮬레이션 기법 개발 및 활용 사례 연구.
갈바닉부식시뮬레이션방청성능부식수명이종재
2024. 8. 4.
현대자동차