csrf 관련 이슈
- 작성자 :
- 유*하
- 작성일 :
- 2020-09-03 16:49:18
- 조회수 :
- 3,960
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
현재 운영되고있는 시스템에서 대략 세션이 유실 될 즈음의 시간이 흐른 뒤 시스템에서 이벤트를 발생시키면
하얀 배경에
1. Could not verify the provided CSRF token because your session was not found.
2. invalid CSRF Token 'csrf값' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
1 혹은 2번의 문구만 나오는 페이지로 넘어갑니다.
1번은 세션이 유실된 경우로 판단되고
2번은 클라이언트의 csrf값과 서버의 csrf값이 불일치하는 경우? 로 판단되는데
전자정부 프레임워크 3.7 버전을 사용중이며
<egov-security:config id=.....>
..
..
..
csrf="true"
</....>
위 간편화된 방식으로 설정이 되어있고
meta 테그에 담아서 사용중입니다.
위 1번과 2번의 경우를 어떤 방식으로 해결해야 할까요 ?
하얀 배경에
1. Could not verify the provided CSRF token because your session was not found.
2. invalid CSRF Token 'csrf값' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
1 혹은 2번의 문구만 나오는 페이지로 넘어갑니다.
1번은 세션이 유실된 경우로 판단되고
2번은 클라이언트의 csrf값과 서버의 csrf값이 불일치하는 경우? 로 판단되는데
전자정부 프레임워크 3.7 버전을 사용중이며
<egov-security:config id=.....>
..
..
..
csrf="true"
</....>
위 간편화된 방식으로 설정이 되어있고
meta 테그에 담아서 사용중입니다.
위 1번과 2번의 경우를 어떤 방식으로 해결해야 할까요 ?
A
안녕하세요.
표준프레임워크센터 입니다.
표준프레임워크에서 제공하는 시큐리티 간소화 서비스는
복잡한 시큐리티 기능을 간단하게 사용하는것이 목적이기 때문에
지정된 기능 외에 확장기능은 제공하고 있지 않습니다.
관련하여 다음 클래스를 기본적으로 사용하고 있으며
org.springframework.security.web.access.AccessDeniedHandlerImpl
다음에서 정의하고 있습니다.
src/main/java/egovframework/rte/fdl/security/config/EgovSecurityHttp.java
현재로서는
이 부분에 대해서 확장하여 사용하실수는 없습니다.
아래 스프링 페이지의 13.4.3 Include the CSRF Token 부분을 참고해 보시기 바랍니다.
https://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html
감사합니다.
표준프레임워크센터 입니다.
표준프레임워크에서 제공하는 시큐리티 간소화 서비스는
복잡한 시큐리티 기능을 간단하게 사용하는것이 목적이기 때문에
지정된 기능 외에 확장기능은 제공하고 있지 않습니다.
관련하여 다음 클래스를 기본적으로 사용하고 있으며
org.springframework.security.web.access.AccessDeniedHandlerImpl
다음에서 정의하고 있습니다.
src/main/java/egovframework/rte/fdl/security/config/EgovSecurityHttp.java
현재로서는
이 부분에 대해서 확장하여 사용하실수는 없습니다.
아래 스프링 페이지의 13.4.3 Include the CSRF Token 부분을 참고해 보시기 바랍니다.
https://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html
감사합니다.