Spring security cors 설정에 별다른 csrf토큰 설정 제외처리를 해줘야하나요?

Question

Spring security를 사용하여 csrf토큰 인증을 사용 중입니다.post 방식으로 다른 도메인에서 전송 받는 곳이 있어서 해당 부분만 cors설정 을 해주었는데..자꾸 403에러로 넘어가네요. cors설정을 해줘도 별도로 csrf토큰 제어 여부를 처리해줘야하나요 ? xml config 버전으로 설정하였습니다.

Authorization Content-Type Account-Locked Account-Disabled Bad-Credentials POST GET OPTIONS

Mambo · Accepted Answer

CORS와 CSRF의 용도는 다르기에 개별 설정일 것 같습니다.CORS에 따라 요청을 방지하는 주체는 브라우저이고 CSRF 방지를 위해 검증하는 주체는 서버이니까요.

아데니아 · Answer

Mambo 님 답변 감사합니다..저는 크로스 도메인 접속을 막는게 csrf토큰이라 생각하여... cors기능으로 오픈하면 가능할 줄 알았더니.. 별개의 기능으로 봐야 되나보군요... 현상의 이유는 알았으니 해결책을 찾아봐야곘네요..

Spring security cors 설정에 별다른 csrf토큰 설정 제외처리를 해줘야하나요?

2개의 답변

#csrf 목록