728x90 JWT3 프론트에서 안전하게 JWT 인증 방식 처리하기. XSS(Cross-Site Scripting) 공격자가 클라이언트 브리우저에 js를 삽입해 실행하는 공격이다. input tag를 통해 또는 url을 통해 js를 적어 클라이언트에서 실행이 가능하다면 사이트에 스크립트를 삽입해 xss공격을 할 수 있다. 공격자는 이를 이용해 사이트의 글로벌 변수값을 가져오거나 또는 그 값을 이용해 API 요청을 보낼 수 있다. 사용자가 글을 읽고, 쓰는 게시판에서 많이 발생 하지만 사용자의 입력 값을 보여주는 곳에서도 발생 한다. XSS공격은 다음과 같은 종류가 있다. 1. Persistent XSS 지속적인 피해를 입히는 XSS공격이다. 공격자는 XSS취약점이 있는 곳을 파악해 스크립트를 삽입한다. 삽입된 스크립트는 DB에 서장되고, 저장된 스크립트가 있는 게시글 등을.. 2021. 9. 5. learning code refactoring 올해 여름 방학때 리액트를 시작하고 리액트를 좀 더 숙련되게 사용하기 위해 시작한 프로젝트이다. 그런데 중간에 멋사 플잭으로 인해 도커, 쿠버네티스를 공부해야 하는 상황이 되었고 이 프로잭트를 활용해 도커, 쿠버네티스를 공부해 볼려고 한다. 따라서 이번 글은 프로젝트를 하나 완벽히 끝내고 쓴 글이라기 보다는 그냥 실질적인 배포 이전 리액트로 플젝을 하면서 배운것을 정리하는 정도 이다. 리액트를 그동안 배우면서 책에 나와있는 아누 작은 플잭들을 결과만 보고 혼자 구현한거, 멋사에서 플잭을 하면서 전체 기능 중 일부만 구현해 본거랑 비교를 하면 확실히 배운게 더 많은거 같다. 이래서 혼자 플잭을 해봐야되... 우선 API 서버를 처음 구축해 본다. 기존 SSR를 사용한 플젝에서는 상태코드, Content-T.. 2021. 9. 5. JWT(JSON Web Token) JWT는 1. 전자서명된 URL-safe(URL로 이용 가능한 문자만 사용됨)한 JSON이다 2. claim을 JSON 구조로 표현한 RFC7519표준이다. RFC7519는 JWT를 기술한 RFC이다. claim은 payload에 담는 정보의 한 조각으로 name: value쌍을 이루고있다. claim은 registered claim, public claim, private claim이 세종류로 나눠져있다. 3.요청 헤더에 JWT토큰을 넣고 요청을 보내기에 서버는 별도의 인증없이 헤더에 포함된 JWT토큰을 통해 인증한다. 4. JWT는 HMAC 알고리즘 또는 RSA를 이용한 공개키, 비밀키 쌍으로 서명할 수 있다. HMAC(keyed-hash message authentication code, hash-.. 2020. 12. 23. 이전 1 다음 728x90