의미없는 블로그

referer 를 검사해서 정상 출처에서 왔는지 확인한다referer 는 클라이언트측에서 오기 때문에 조작할 수 있다정상 referer 에서 온것 처럼 조작할 수 있다 사이트가 referer 검사에 의존하고 있으면 안된다 referer 헤더에 대한 검증을 서버단에서 하라는것?네, 맞습니다! Referer 헤더에 대한 검증은 서버단에서 해야 합니다. 클라이언트 측에서 Referer 헤더를 신뢰하는 것은 보안상 위험할 수 있기 때문입니다. 클라이언트 측에서는 Referer 헤더를 조작할 수 있기 때문에, 이를 검증하는 로직을 서버에서 구현해야만 제대로 된 보안을 유지할 수 있습니다. 근데 해당 페이지에서 xss 취약점 포인트가 없으면어차피 CSRF 는 불가한거 아니야? 맞습니다, XSS (Cross-Site..

최신 브라우저에서 지원되지 않는 경우 거의 없음. 대부분의 브라우저에서는 X-Frame-Options 헤더가 제대로 작동 X-Frame-Options는 이미 거의 모든 최신 브라우저에서 지원한다고 했는데 그럼 별로의 헤더 설정 안해도돼?맞아요! 최신 브라우저만 사용하는 환경이라면, X-Frame-Options를 설정할 필요는 없을 수 있습니다. 이유는:최신 브라우저의 지원: 최신 브라우저(Chrome, Firefox, Edge 등)는 CSP의 frame-ancestors 디렉티브를 통해 Clickjacking을 방어할 수 있기 때문에, 별도로 X-Frame-Options 헤더를 설정할 필요가 없습니다.CSP의 frame-ancestors 디렉티브: 이 디렉티브는 X-Frame-Options보다 더 유연하..