전자정부 프레임워크 csrf 관련된 모듈이 존재하나요?
- 작성자 :
- 정*성
- 작성일 :
- 2014-03-20 15:54:38
- 조회수 :
- 884
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
전자정부 2.6 사용중인데요.
스프링 3.0 대에서 csrf 관련된 취약점 방어 관련 모듈이 있는지 궁금합니다.
스프링 3.0 대에서 csrf 관련된 취약점 방어 관련 모듈이 있는지 궁금합니다.
A
안녕하세요. 정명성님.
우선 전자정부 표준프레임워크 내부에서 csrf 관련된 취약점 방어 관련 모듈을 구현하여 제공하고 있지는 않습니다.
해당 기능은 구현 단에서 토큰 값들을 사용해서 폼 데이터가 전송될 때 해당 전송이 정상적인 전송인지 여부를 검사하거나 하는등의 CSRF 공격 차단을 위한 기능을 추가 하셔야 합니다.
다만 스프링 기반으로 csrf 방어 기능을 구현 하시려고 하시면, 스프링 시큐리티 3.1이상에 적용되어 있는 토큰 기반의 CSRF Protection 기능을 활용하시면 스프링 및 스프링 시큐리티 기반으로 구현 가능 하십니다.
그럼 오늘도 좋은하루 보내시기 바랍니다.
감사합니다.
우선 전자정부 표준프레임워크 내부에서 csrf 관련된 취약점 방어 관련 모듈을 구현하여 제공하고 있지는 않습니다.
해당 기능은 구현 단에서 토큰 값들을 사용해서 폼 데이터가 전송될 때 해당 전송이 정상적인 전송인지 여부를 검사하거나 하는등의 CSRF 공격 차단을 위한 기능을 추가 하셔야 합니다.
다만 스프링 기반으로 csrf 방어 기능을 구현 하시려고 하시면, 스프링 시큐리티 3.1이상에 적용되어 있는 토큰 기반의 CSRF Protection 기능을 활용하시면 스프링 및 스프링 시큐리티 기반으로 구현 가능 하십니다.
그럼 오늘도 좋은하루 보내시기 바랍니다.
감사합니다.