CSRF, CORS, 그리고 동일 출처 정책: 브라우저 보안의 힘겨루기
2025-03-02
이 글에서는 웹 보안에서 CSRF(Cross-Site Request Forgery)와 CORS(Cross-Origin Resource Sharing) 메커니즘을 자세히 살펴봅니다. 둘 다 교차 사이트 요청과 관련이 있지만, 기능과 메커니즘은 크게 다릅니다. 기본적으로 브라우저는 동일 출처 정책을 적용하여 교차 사이트 쓰기를 제한하지만, 교차 사이트 읽기는 허용합니다. CSRF는 이 정책의 취약점을 악용하는 반면, CORS는 특정 교차 사이트 요청을 허용하는 메커니즘을 제공합니다. 이 글에서는 SameSite 속성이 CSRF에 미치는 영향, 전체 보안 아키텍처에서 브라우저의 중요한 역할을 분석하고, 브라우저의 SameSite=Lax 기본값 채택률이 인터넷 보안에 직접적인 영향을 미칠 것이라고 지적합니다.
개발