CSRF

CSRF 정의

• 공격자가 웹사이트가 신뢰하는 사용자(ex: 로그인된 사용자)를 통해 각종 권한을 필요로하는 요청을 전송하는 것

 

django 에서의 {% csrf_token %} 방어방법

• 임의의 CSRF 토큰을 만들어 세션에 저장해놓고, 요청하는 페이지에 hidden 타입 input 태그를 아용하여 토큰값을 전달하고 서버에서 비교후 맞을 경우에만 정상적인 요청으로 인지하게 한다.

 

참조

https://www.ibm.com/docs/ko/sva/10.0.4?topic=configuration-prevention-cross-site-request-forgery-csrf-attacks