Spring Security 403 CSRF 오류

eGov 프레임워크를 사용하면서 spring security 를 사용해보고있다. 그 과정에서 마주친 오류!

403에러:   Could not verify the provided CSRF token because your session was not found.    

무슨 에러인지 몰라서..... 다른 곳에서 에러를 마구 찾다가..... 함께 공부하고 있는 동료한테 물어봐서 해결했다... 

 

해결방법은 아주 간단!

form 태그안에 아래와 같은 input 을 넣어주면된다.

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />

그러면 에러없이 끄읏!!

 

https://docs.spring.io/spring-security/reference/features/exploits/csrf.html

CSRF(Cross Stie Request Forgery)가 뭔지 알고 싶다면, 

은행사이트에 로그인하여 사이트를 이용하고 로그아웃을 안한 상태에서 다른 사이트에 접속했다고 가정하자. 그 다른 사이트에서 HTTP request를 통해서 우리 컴퓨터나 연동되어있는 은행의 cookies를 가져오는 form태그를 숨겨서 버튼 이벤트에 그 정보를 보내주는 걸어뒀을 수도 있다. 그걸 CSRF Attack 이라고 부른다.

그걸 막기위해 token 을 주어 그 사이트의 고유의 토큰을 가지고 있을 경우에만 form태그가 발동할 수 있게 지정해주는 작업을 넣어주는거다.

반응형