3.7버전 개발중 문의사항이 있습니다.
- 작성자 :
- 김*우
- 작성일 :
- 2019-01-21 16:57:09
- 조회수 :
- 1,673
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
첫번째 문의사항은 현재 세션방식으로 로그인을 커스텀 구현을 하였는데요 csrf설정이 필요하여 알아본 결과
global.auth가 session일때는 시큐리티를 타지 않는것으로 보입니다
그래서 session방식일때도 시큐리티를 타도록 EgovWebApplicationInitializer.java를 수정하였는데요
로그인 처리가 되지 않은 상태라서 계속 시큐리티의 로그인 페이지로 리다이렉트가 되는 현상이 발생을 합니다.
<security:http pattern="/resource/**" security="none"/> 해당과같이 특정 패턴의 url을 설정해주면 로그인을 하지 않아도
접근이 가능하나 이또한 시큐리티를 거치지 않기때문에 csrf가 작동되지 않더라고요
혹시 세션방식으로도 로그인인증없이 csrf설정을 사용할 수 있는 방법을 설명 부탁드립니다.
두번째 문의 사항은 jsp에서 form태그에 파일업로드를 위한 enctype="multipart/form-data" 를 추가만 하면
form action 수행시 404에러가 발생합니다.
컨트롤러에서 post로 받고 MultipartHttpServletRequest에 대한 처리도 되어있음에도 에러가 발생하는데
파일업로드를 위한 form action 호출시 설정을 해야하는 부분이 있는지 답변 부탁드립니다.
세번째 문의 사항은 로그인방식으로 세션방식을 사용중인데요 웹취약성에 세션 타임아웃에 대한 알림이 있어야한다는군요
아무리 문서를 찾아보아도 세션타임아웃을 캐치하여 처리하는 부분은 보이지가 않는데 설정이 불가능한것인지 방법이 있는지 답변 부탁드립니다. 단순 특정세션이 있고없고에대한 처리가 아닌 타임아웃으로 세션이 삭제되었음을 캐치가 되어야합니다.
global.auth가 session일때는 시큐리티를 타지 않는것으로 보입니다
그래서 session방식일때도 시큐리티를 타도록 EgovWebApplicationInitializer.java를 수정하였는데요
로그인 처리가 되지 않은 상태라서 계속 시큐리티의 로그인 페이지로 리다이렉트가 되는 현상이 발생을 합니다.
<security:http pattern="/resource/**" security="none"/> 해당과같이 특정 패턴의 url을 설정해주면 로그인을 하지 않아도
접근이 가능하나 이또한 시큐리티를 거치지 않기때문에 csrf가 작동되지 않더라고요
혹시 세션방식으로도 로그인인증없이 csrf설정을 사용할 수 있는 방법을 설명 부탁드립니다.
두번째 문의 사항은 jsp에서 form태그에 파일업로드를 위한 enctype="multipart/form-data" 를 추가만 하면
form action 수행시 404에러가 발생합니다.
컨트롤러에서 post로 받고 MultipartHttpServletRequest에 대한 처리도 되어있음에도 에러가 발생하는데
파일업로드를 위한 form action 호출시 설정을 해야하는 부분이 있는지 답변 부탁드립니다.
세번째 문의 사항은 로그인방식으로 세션방식을 사용중인데요 웹취약성에 세션 타임아웃에 대한 알림이 있어야한다는군요
아무리 문서를 찾아보아도 세션타임아웃을 캐치하여 처리하는 부분은 보이지가 않는데 설정이 불가능한것인지 방법이 있는지 답변 부탁드립니다. 단순 특정세션이 있고없고에대한 처리가 아닌 타임아웃으로 세션이 삭제되었음을 캐치가 되어야합니다.
A
안녕하세요.
표준프레임워크센터 입니다.
전자정부 시큐리티 간소화 설정에서
csrf설정은 security모드일때만 가능하고
session모드와 같이 사용은 어려울듯 합니다.
이부분과 관련해서 별도로 가이드 하는것이 없기때문에
센터에서 안내가 어려울듯 합니다.
enctype="multipart/form-data" 설정시
오류가 발생한다면
파일전송시 필요한 MultipartResolver 설정이 필요합니다.
다음 빈 설정이 누락되었는지 확인 부탁드립니다.
<bean id="spring.RegularCommonsMultipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver">
<bean id="local.MultiCommonsMultipartResolver" class="egovframework.com.cmm.web.EgovMultipartResolver">
감사합니다.
표준프레임워크센터 입니다.
전자정부 시큐리티 간소화 설정에서
csrf설정은 security모드일때만 가능하고
session모드와 같이 사용은 어려울듯 합니다.
이부분과 관련해서 별도로 가이드 하는것이 없기때문에
센터에서 안내가 어려울듯 합니다.
enctype="multipart/form-data" 설정시
오류가 발생한다면
파일전송시 필요한 MultipartResolver 설정이 필요합니다.
다음 빈 설정이 누락되었는지 확인 부탁드립니다.
<bean id="spring.RegularCommonsMultipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver">
<bean id="local.MultiCommonsMultipartResolver" class="egovframework.com.cmm.web.EgovMultipartResolver">
감사합니다.