Secure

[su3inni]

브라우저 보안 기능

SOP : Same-origin policy

프로토콜, 포트, 호스트가 일치하지 않는 경우 리소스와 상호작용하는 것을 제한하는 보안 방법이다.

• 브라우저가 사용자를 보호하는 기능
• JSONP : SOP를 우회하는 방법
  • get 요청으로 script 요청을 보낼때 SOP의 영향을 받지 않는 다는 것을 이용한 우회 방법

    CORS : Cross-Origin Resource Sharing

    SOP를 사용할 수 없는 경우 가장 먼저 고려할 수 있는 방법

• SOP를 통해 통신은 막아두었지만
• CORS 설정을 통해 자원을 공유할 수 있다.
  • CORS 설정을잘해야 중요 정보를 노출하지 않으므로 신경써야한다. ( credential 정보, 사용자 개인 정보 )

    CSP : Content Security Policy

    보안헤더는 브라우저에 특정한 조건의 리소스만 실행할 수 있도록 조건을 부여할 수 있다.

• XSS 공격으로 inline 스크립트가 삽입되거나 js가 삽입되어도 CSP를 통해 제한할 수 있다.

[su3inni]

API Server 의 보안

micro service화 되면서 데이터를 API 통해 제공한다. 이때 API Server의 보안적인 측면을 주의해야한다.

• 중요한 정보 노출
• JSON Web Token 의 서명/검증 절차
• 요청/크기 제한

[su3inni]

Server-Side Request Forgery

application이 마이크로 서비스화 되면서 서버와 서버간의 요청이 많아지면서 공격 가능성이 높아짐

• user의 입력을 중계해주는 경우 조심해야할 부분
  • Meta 태그 크롤링, 내부망에 위치한 파일 접근, SOP 우회를 위한 프록시