티스토리 뷰
서버로부터 받은 토큰 어디에 저장할까?
-
브라우저의 localStorage or sessionStorage에 담아서 사용한다.
-
브라우저의 쿠키를 사용한다
1. localStorage or SessionStorage에 담아서 사용할 경우
-
사용하기가 매우 편리하고 구현하기도 쉽다.
-
단, 누군가 페이지(ex. 게시글)에 악성 스크립트를 삽입한다면 쉽게 토큰을 탈취 당할 수 있다. (XSS 공격)
2. 쿠키에 담아서 사용한다
-
쿠키 역시 XXS 공격에 노출되어 있지만 httpOnly라는 속성을 활성화하면 자바스크립트를 통해 쿠키를 조회할 수 없으므로 악성 스크립트로부터 안전하다.
-
그 대신 CSRF(Cross Site Request Forgery)라는 공격을 받을 수 있다.
결론
CSRF 공격은 백엔드에서 request의 referrer를 확인하여 domain이 일치하는지를 검증하거나,
Security Token(ex. CSRF Token)을 사용한다면 제대로 된 방어가 가능하기 때문에 이옐로는 사용자 토큰을 쿠키에 담아서 인증을 처리하는 편이다.
'We think about IT' 카테고리의 다른 글
| [Python] Python 가상환경 (6) | 2020.10.11 |
|---|---|
| [ 토이 프로젝트 ] 토이 프로젝트를 진행하면서 주의해야 할 점 (6) | 2020.10.08 |
| [데이터베이스] Windows 10 오라클 다운로드 (11g version) (4) | 2020.10.02 |
| [ 반응형 웹사이트 ] 반응형 웹 사이트를 만들기 위한 핵심적인 4가지를 짚어보자! (4) | 2020.09.30 |
| [Typescript] 타입 스크립트 프로젝트에 ESLint와 Prettier 적용하기 (3) | 2020.09.28 |
댓글