[Spring Security] CSRF & CORS 개념 및 설정 방법

📌 1. CSRF(Cross-Site Request Forgery)란?

• 사용자가 로그인된 상태에서 악성 사이트를 통해 원치 않는 요청을 보내도록 유도하는 공격 방식
• 예를 들어, 사용자가 은행 웹사이트에 로그인한 상태에서 악성 스크립트가 계좌이체 요청을 보내면 공격이 성공할 수 있음

 

✅ 1-1. Spring Security에서 CSRF 설정 방법

🔹 CSRF 방어 활성화 (기본값)

• Spring Security에서는 CSRF 보호가 기본적으로 활성화됨
• 폼 기반 로그인(formLogin())을 사용할 때 CSRF 방어가 필요함

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .csrf(csrf -> csrf.enable()) // 기본적으로 활성화되어 있음
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .formLogin(withDefaults())
        .build();
}

 

🔹 CSRF 비활성화 (API 서버에서는 주로 비활성화)

• REST API에서는 일반적으로 CSRF 보호가 필요 없음 → API 호출 시 세션을 사용하지 않고 JWT 등을 사용하기 때문문
• POST, PUT, DELETE 요청이 실패하면 403 Forbidden 오류 발생할 수 있음 → CSRF 비활성화 필요

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .csrf(csrf -> csrf.disable()) // API 서버라면 보통 비활성화
        .authorizeHttpRequests(auth -> auth
            .anyRequest().permitAll()
        )
        .build();
}

 

✔ CSRF 설정을 하지 않았을 때 발생할 수 있는 오류:

• 403 Forbidden: CSRF 토큰이 필요하지만 제공되지 않았거나 잘못됨

 

📌 2. CORS(Cross-Origin Resource Sharing)란?

• 한 도메인에서 다른 도메인으로 요청을 보낼 때 브라우저가 차단하는 보안 정책
• 예를 들어, http://localhost:3000에서 http://api.example.com로 요청을 보내면 CORS 정책 위반 오류가 발생할 수 있음

 

✅ 2-1. Spring Security에서 CORS 설정 방법

🔹 CORS 허용 설정 (Spring MVC - Web)

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .cors(withDefaults()) // CORS 설정 적용
        .csrf(csrf -> csrf.disable()) // 보통 API 서버에서는 CSRF 비활성화
        .authorizeHttpRequests(auth -> auth
            .anyRequest().permitAll()
        )
        .build();
}

@Bean
public CorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration configuration = new CorsConfiguration();
    configuration.setAllowedOrigins(List.of("http://localhost:3000")); // 허용할 출처
    configuration.setAllowedMethods(List.of("GET", "POST", "PUT", "DELETE", "OPTIONS"));
    configuration.setAllowedHeaders(List.of("*"));
    configuration.setAllowCredentials(true);

    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", configuration);
    return source;
}

 

🔹 CORS 허용 설정 (Spring WebFlux)

@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
    return http
        .cors(cors -> cors.configurationSource(corsConfigurationSource())) // CORS 설정 적용
        .csrf(csrf -> csrf.disable()) 
        .authorizeExchange(exchange -> exchange
            .anyExchange().permitAll()
        )
        .build();
}

@Bean
public CorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration configuration = new CorsConfiguration();
    configuration.setAllowedOrigins(List.of("http://localhost:3000"));
    configuration.setAllowedMethods(List.of("GET", "POST", "PUT", "DELETE", "OPTIONS"));
    configuration.setAllowedHeaders(List.of("*"));
    configuration.setAllowCredentials(true);

    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", configuration);
    return source;
}

 

✔ CORS 설정을 하지 않았을 때 발생할 수 있는 오류:

• CORS policy 오류 (Access to fetch at 'http://api.example.com' from origin 'http://localhost:3000' has been blocked by CORS policy)
• Preflight 요청 실패 (OPTIONS 요청이 차단됨)

 

🔥3. CSRF vs CORS 비교 정리

개념	CSRF (Cross-Site Request Forgery)	CORS (Cross-Origin Resource Sharing)
문제 발생 원인	로그인된 사용자의 세션을 악용한 요청 위조	다른 도메인에서 API 요청을 보낼 때 브라우저 차단
보호 대상	서버 (백엔드)	클라이언트 (브라우저)
공격 예시	사용자가 로그인된 상태에서 악성 요청이 전송됨	localhost:3000에서 api.example.com으로 요청 시 차단됨
Spring Security 기본 설정	✅ 기본적으로 활성화됨	❌ 기본적으로 비활성화됨
비활성화 시 발생할 문제	403 Forbidden 오류	브라우저에서 CORS policy 오류 발생
설정 방법	csrf().disable()	cors().configurationSource()

🚀 정리

✅ CSRF는 기본적으로 활성화됨 → API 서버에서는 비활성화하는 것이 일반적
✅ CORS는 기본적으로 비활성화됨 → 클라이언트에서 API를 호출하는 경우 반드시 설정 필요