[13주차 강의] CORS와 CSRF

Part.1/2

보고서 피드백
1. 탐색창에서 문단 설정을 하자
2. 사진 이미지 크기를 키우자
3. 자세하게 적되 투머치인 내용은 적을 필요가 없다
4. 어떤 시도를 할때는 왜 그 시도를 하는지 확인해야한다

Part3.

CSRF vs XSS 차이
XSS : 클라이언트 측에서 실행하는 스크립트를 삽입하는 공격
CSRF : 피해자가 원치 않은 요청을 서버로 보내게 만드는 공격

GET Method로 비밀변호 변경이 된다면 링크만 클릭해도 변경이 되는 문제가 있음
POST Method는 body로 데이터를 보내는데 javascript를 쓰거나 form 태그를 써야한다
form태그를 쓴다는건 <>를 쓸 수 있어야한다. <>를 할 수 있다는건 XSS도 할 수 있다는 뜻.
javascript로 submit을 자동으로 실행되게 할 수 있다.

CSRF Token 문제
똑같이 Form 태그로 Token을 가져올 수는 없다.
<iframe>을 이용해서 token을 가져오는 기능을 구현하고 form을 활용해서 할 수 있다.

csrf 대응방법
referrer check : Referer헤더를 통해서 어디서 요청이 오는지 확인할 수 있다.
하지만 referer check 우회할 수 있음
문제가 발생하면 통과시켜주자. 보통 에러가 나면 그냥 넘겨주는 전략을 많이 쓴다.
<meta name="referrer" content="no-referrer"> 메타태그를 넣을 경우 우회가 될 수도 있다.

Part.4

근본적인 csrf 대응방법
CSRF는 요청을 위조했기 때문에 발생하는 문제이다.
parameter에 모르는 정보를 넣어줘야한다. 위조하지 못하게 인증정보를 넣어주면 된다.
모든 요청에 인증정보를 넣을 수는 없다. 클릭할 때마다 비밀번호를 넣는 UI/UX가 되면 안된다.

CSRF 취약점이 나왔는데 Post Method를 쓰는 경우에는 왜 XSS를 찾아야할까?
외부 페이지인 나의 페이지에서 진행하면 XSS를 안 찾아도 되지 않나? 왜 그럴까?
SOP / CORS 에러에 걸리게 된다.

SOP
1. Same-origin Policy
2. 다른 출처의 자원에 접근하지 못하게 한다.
3. 도메인, 스키마, 포트가 같아야한다.

숨구멍을 만들어달라고해서 나온게 CORS
1. 규칙에 맞으면 다른 출처에도 데이터를 쓸 수 있다.
2. ACAO(Access-Controll-Allow-Origin) 응답 
3. 허용할 도메인을 미리 등록해둔다.

Part.5

CORS
1. White List 기반으로 정책
2. *를 통해서 모든 데이터를 허용하는 것으로 개발하기 시작
3. 타 도메인에서 쿠키를 포함해서 요청한 것에 대한 응답은 *를 못쓰는 것으로 브라우저 개발자들이 변경함
4. ACAC가 true라면 쿠키가 포함된 요청이다. 이렇게 된 곳에서는 *를 못쓴다.
5. 이렇게 했더니 응답에다가 Origin의 값을 그대로 넣는 것으로 바꿈
6. SOP와 CORS 때문에 Origin이 같아야하고 그래서 CSRF Post method를 할때는 XSS가 필요하다.