Same-Origin Policy๋ฅผ ์ฐํํ์ฌ ์๋ํ์ง ์์ ์์ฒญ ์คํ
ID: 0
์ด๋ฉ์ผ: user@example.com
๊ณต๊ฒฉ์ ์ฌ์ดํธ(attacker.com)์ ์ ์์ ์ธ HTML:
๐ก ๊ณต๊ฒฉ ์๋ฆฌ:
1. ํผํด์๊ฐ ์ด ํ์ด์ง๋ฅผ ๋ฐฉ๋ฌธ
2. ์ด๋ฏธ์ง ๋ก๋ ์ ์๋์ผ๋ก ์ด๋ฉ์ผ ๋ณ๊ฒฝ ์์ฒญ ์ ์ก
3. ์ฟ ํค๊ฐ ์๋ ํฌํจ๋์ด ํผํด์ ๊ถํ์ผ๋ก ์คํ๋จ
4. ์ด๋ฉ์ผ์ด ๋ณ๊ฒฝ๋จ (ํผํด์๋ ๋ชจ๋ฆ)
๐จ ์ทจ์ฝ ์ด์ : GET ์์ฒญ์ผ๋ก ์ํ ๋ณ๊ฒฝ ๊ฐ๋ฅ
๐ก Custom Header ๊ฒ์ฆ์ด ์์ผ๋ฉด ๋ชจ๋ Origin์์ ์์ฒญ ๊ฐ๋ฅ
1. Custom Header ๊ฒ์ฆ:
2. GET์ผ๋ก ์ํ ๋ณ๊ฒฝ ๊ธ์ง: POST๋ง ์ฌ์ฉ
3. SameSite ์ฟ ํค ์ค์ :
4. Double Submit Cookie: ์ฟ ํค์ ํ๋ผ๋ฏธํฐ์ ํ ํฐ ๊ฐ ๋น๊ต