csrf 방어
- 작성자 :
- 이*욱
- 작성일 :
- 2018-10-17 18:53:09
- 조회수 :
- 2,851
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
전자정부프레임워크 3.5환경에서 CSRF 방지를 위해서 어떻게 해야하는지 가이드 좀 부탁드립니다.
이번에 취약점 점검에서 크로스 사이트 요청 위조라고 나와서 문의를 드립니다.
참고로 스프링 시큐어리티 3.2 입니다.
이번에 취약점 점검에서 크로스 사이트 요청 위조라고 나와서 문의를 드립니다.
참고로 스프링 시큐어리티 3.2 입니다.
A
안녕하십니까, 표준프레임워크센터입니다.
먼저 실행환경 3.5에 스프링 시큐리어티 3.2의 경우는 CSRF 조치 가이드에 대해 표준프레임워크 가이드 하지 않습니다.
eGovFrame 3.7 실행환경에서 egov 간소화 설정을 통해 CSRF를 방지 하고 있습니다.
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security:xmlschema_v3_7
eGovFrame 3.5의 경우 Spring Security 버전이 3.2.4이지만 3.7에서는 4.0.3으로 변경되어 실행환경 업그레이드에 대한 가이드를
아래 링크로 안내 드립니다.
실행환경 3.5 > 3.6
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rtemigration3.6
실행환경 3.6 > 3.7
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rtea3.7
스프링 시큐리티 3.2.3 > 4.0.3 업그레이드 가이드
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security:upgrade_v3_7
그 외 다른 업무적인 환경으로 인해 업그레이드가 어려워,
이 방법에 이외 다른 방법을 원하실 경우는 자체적인 커스터마이징이 필요합니다.
스프링 시큐리티 3.2.4에서 전자정부 기반에 CSRF 설정에 관한 외부 참조링크도 참고하시기 바랍니다.
https://offbyone.tistory.com/211
감사합니다.
먼저 실행환경 3.5에 스프링 시큐리어티 3.2의 경우는 CSRF 조치 가이드에 대해 표준프레임워크 가이드 하지 않습니다.
eGovFrame 3.7 실행환경에서 egov 간소화 설정을 통해 CSRF를 방지 하고 있습니다.
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security:xmlschema_v3_7
eGovFrame 3.5의 경우 Spring Security 버전이 3.2.4이지만 3.7에서는 4.0.3으로 변경되어 실행환경 업그레이드에 대한 가이드를
아래 링크로 안내 드립니다.
실행환경 3.5 > 3.6
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rtemigration3.6
실행환경 3.6 > 3.7
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rtea3.7
스프링 시큐리티 3.2.3 > 4.0.3 업그레이드 가이드
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security:upgrade_v3_7
그 외 다른 업무적인 환경으로 인해 업그레이드가 어려워,
이 방법에 이외 다른 방법을 원하실 경우는 자체적인 커스터마이징이 필요합니다.
스프링 시큐리티 3.2.4에서 전자정부 기반에 CSRF 설정에 관한 외부 참조링크도 참고하시기 바랍니다.
https://offbyone.tistory.com/211
감사합니다.