Cross Site Request Forgery
쿠키에 별도로 설정을 가하지 않는다면, 크롬을 제외한 브라우저들은 모든 HTTP 요청에 대해서 쿠키를 전송
사이트간 요청 위조
- 대상 사이트는 쿠키로 사용자 인증을 수행
- 피해자는 공격 대상 사이트에 이미 로그인 되어있어서 브라우저에 쿠키가 있는 상태
- 공격자는 피해자에게 그럴듯한 사이트 링크를 전송하고 누르게 함 (HTTP 요청을 보내게)
방어
1. Referrer 검증
2. CSRF Token 사용 - token을 사용자의 세션에 저장하여 사용자의 모든 요청(Request)에 대하여 서버단에서 검증하는 방법