CSRF 비활성화
...
@Override
public void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
...위와같이 스프링에서 csrf를 비활성화하면 스프링 시큐리티는 토큰을 발행하지 않는다.
하지만 보안상으로 좋지 않기때문에 개발과정이 아닌 이상 권장하지 않는다.
스프링 시큐리티는 csrf().disable()을 하지 않으면 알아서 csrf보호(토큰 발행,확인)를 하기 때문에
특별히 다른 설정은 안 했다.
현재 쓰고있는 템플릿 엔진이 JSP라서 관련해서 찾아보니까 보통 input hidden으로 토큰 값을 보내줬다.
(써보진 않았지만 thymeleaf도 비슷한 방식인 듯 하다.)
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}">위와같이 form 안에 토큰 값을 담아서 보내주니 문제없이 제대로 작동됐다.
참고문헌
Baeldung 'A Guide to CSRF Protection in Spring Security' https://www.baeldung.com/spring-security-csrf
'Java > SpringBoot' 카테고리의 다른 글
| Spring boot : Mustache 사용시 한글 인코딩 설정 (0) | 2024.03.11 |
|---|---|
| Spring Security 기본 설정 (0) | 2021.12.08 |
| Logback 기본 설정 (0) | 2021.12.07 |