Category Archives: 웹보안

CORS 상황에서 ajax response로 쿠키(cookie)를 생성할 때 생성되지 않는 경우 (인증/토큰/token)

By | 7월 13, 2022

ajax option에 xhrfields : {withCredentials : true} 를 주자   서버사이드에서는 (ex: 웹서버) 아래의 Http Header 설정도 필요하다. Access-Control-Allow-Credentials : true Access-Control-Allow-Origin : http://aaa.com => withCredentials의 true인 경우에는 asterisk(*)를 사용할 수 없고 도메인을 명시/나열해야 한다.   쿠키를 생성했다고 해도, CORS 요청일 경우에는 쿠키가 전혀 전송되지 않음에 주의하자.  

CSRF(Cross Site Response Forgery)

By | 7월 3, 2009

[출처] CSRF(Cross Site Response Forgery)|작성자 센세이션 크로스-사이트 요청 위조 (CSRF) 공격은 원클릭 공격, 사이드 재킹 (sidejacking), 세션 라이딩 (session riding) 등으로도 알려져 있고, 약어로는 CSRF 또는 XSRF로 알려져 있습니다. 이 유형의 공격은 크로스-사이트 스크립팅 (XSS)와 유사한 점이 있지만, XSS의 경우에는 악성 스크립트를 웹사이트에 삽입할 필요가 있는 반면, CSRF 공격의 경우 사이트가 신뢰하는 사용자를 통해 공격자가… Read More »