CSRF란 무엇이며, Spring Security는 이를 어떻게 방어하나요?

[dnjs0]

자세한 설명~

• CSRF(Cross-Site Request Forgery)

  • 웹 애플리케이션에 로그인된 사용자의 인증 정보를 몰래 이용해, 사용자가 의도하지 않은 요청(예: 상태 변경을 일으키는 POST/PUT/DELETE 등)을 공격자가 대신 전송하도록 하는 공격 기법입니다.
  • 공격 시나리오 예:
    1. 사용자가 A은행에 로그인하여 세션 쿠키를 획득
    2. 다른 탭에서 공격자 페이지를 방문
    3. 공격자 페이지에 숨겨진 <img> 태그나 자동 전송되는 폼이 A은행의 계좌이체 엔드포인트로 요청을 보내 세션 쿠키와 함께 실행
    4. 사용자는 본인의 의지와 상관없이 돈이 이체됨

• Spring Security의 CSRF 방어 메커니즘

  1. Synchronizer Token Pattern
     • 서버는 사용자가 세션에 접근할 때마다 고유한 CSRF 토큰을 생성해 세션(기본은 HttpSession)에 저장합니다.
     • 뷰(Thymeleaf, JSP 등)에서 <input type="hidden" name="_csrf" value="${_csrf.token}"/> 형태로 폼에 토큰을 포함시키고, AJAX 요청 시에는 HTTP 헤더(X-CSRF-TOKEN)에 담아 보냅니다.
  2. CsrfFilter
     • 모든 상태 변경 요청이 들어올 때마다 요청에 포함된 토큰과 세션에 저장된 토큰을 비교 검증합니다.
     • 일치하지 않으면 403 Forbidden 응답을 반환하여 요청을 차단합니다.
  3. 토큰 저장소 확장
     • 기본적으로 HttpSessionCsrfTokenRepository를 사용하지만, SPA나 REST API 환경에서는 CookieCsrfTokenRepository를 활용해 쿠키 기반으로 토큰을 전달하기도 합니다.
  4. 설정 예시

     @Configuration
     public class SecurityConfig extends WebSecurityConfigurerAdapter {
       @Override
       protected void configure(HttpSecurity http) throws Exception {
         http
           .csrf() // CSRF 방어 활성화 (기본 활성화 상태)
             .csrfTokenRepository(HttpSessionCsrfTokenRepository.withHttpOnlyFalse())
           .and()
           .authorizeRequests()
             .antMatchers(HttpMethod.GET, "/**").permitAll()
             .anyRequest().authenticated();
       }
     }

  5. 추가 팁
     • REST API 서버에서 순수 JSON 통신만 할 경우, 토큰 저장 방식을 헤더 기반으로 바꿔주고, 클라이언트에서 매 요청마다 헤더에 토큰을 포함해야 합니다.
     • 필요에 따라 특정 엔드포인트만 CSRF 검증을 비활성화할 수도 있습니다:

       http.csrf()
           .ignoringAntMatchers("/api/public/**");

---

간단 답변

“CSRF는 사용자가 이미 로그인한 상태에서, 공격자가 몰래 조작한 요청을 자동으로 보내 세션 권한을 탈취하거나 상태를 변경하도록 만드는 공격 기법입니다. Spring Security는 ‘동기화 토큰 패턴’을 기반으로 세션(HttpSession)에 CSRF 토큰을 저장하고, 모든 상태 변경 요청에 대해 클라이언트가 보낸 토큰과 세션 토큰을 비교 검증하는 CsrfFilter를 제공함으로써 이를 방어합니다.”