Anti-CSRF 토큰 부재

애플리케이션이 보안 토큰 또는 SameSite 쿠키 지시자를 사용하여 CSRF 공격으로부터 보호하지 못하는 취약점에 대한 설명 및 해결 방법

설명 # 애플리케이션이 보안 애플리케이션 토큰 또는 SameSite 쿠키 지시자를 사용하여 Cross-Site Request Forgery(CSRF)로부터 보호하지 못했습니다. 이 취약점은 공격자가 서드파티 사이트에 링크 또는 폼을 생성하고 인증된 피해자를 속여 해당 링크나 폼에 접근하도록 유도함으로써 악용될 수 있습니다. 해결 방법 # 모든 세션 쿠키에 SameSite=Strict 속성을 설정하는 것을 고려하세요. 단, 이 방법은 다른 매체에서 링크를 공유할 때 사용성에 영향을 줄 수 있다는 점에 유의해야 합니다. RFC의 최상위 레벨 탐색 섹션에 설명된 것처럼 두 쿠키 기반 접근 방식을 사용하는 것이 권장됩니다. 애플리케이션이 일반적인 프레임워크를 사용하고 있다면, Anti-CSRF 보호 기능이 내장되어 있지만 활성화가 필요할 수 있습니다. 자세한 내용은 애플리케이션 프레임워크 문서를 참조하세요. 위의 두 가지 방법 모두 적용할 수 없는 경우, 서드파티 라이브러리를 사용할 것을