CSRF Cross Site Request Forgery (사이트 간 요청 위조)의 줄임말로 웹 취약점 중 하나입니다. 사용자가 자신의 의지와는 무관하게 해커가 의도한 행위(데이터 수정, 삭제, 등록 등) 를 특정 웹사이트에 요청하게 되는 공격입니다. 예를 들면 사용자가 그저 버튼을 눌렀을 뿐인데 해커가 심어놓은 스크립트에 의해 내 계정의 인증과...

helmet 모듈 공식 문서 정의 Helmet helps you secure your Express apps by setting various HTTP headers. It’s not a silver bullet, but it can help! helmet 모듈은 Express와 함꼐 사용되는 보안 강화 모듈입니다. HTTP 헤더 설정을 ...

sanitize-html 모듈 HTML의 input 또는 textarea 등의 사용자 입력정보에 <script>문자</script>를 사용해 웹 브라우저에서 txt가 아닌 script로 받아들이는 악성 스크립트를 필터링하기 위한 node의 패키지 모듈입니다. 즉, <script>, <a> 등등 기타 태그들...

XSS (Cross-Site Scripting) XSS는 웹 취약점 공격 방법중 하나로, 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우, 공격자가 입력이 가능한 폼에 악의적인 스크립트를 삽입하는 공격 기법을 말합니다. 즉, 권한이 없는 사용자가 악의적인 용도로 웹 사이트에 스크립트를 삽입하는 공격 기법을 말합니다. 주로 여러 사용자...

Session 대신 JWT를 이용해 로그인 기능을 구현해보자. JWT의 장점 인증(Authorization)은 크게 세션 기반과 토큰 기반으로 나뉩니다. 세션 기반 사용자의 인증 정보가 서버 메모리(= 세션 저장소)에 저장되는 방식으로 로그인 시 사용자의 인증 정보를 세션 저장소에 저장하고 Session ID 라는 식별...

redis 모듈에 대해 알아보자. Redis (Remote Dictionary Server) Redis란 메모리 기반의 Key - Value 구조 데이터 관리 시스템입니다. 즉, 쿼리를 사용할 필요가 없습니다. 모든 데이터를 메모리에 저장하고 조회하기 때문에 Read, Write 속도가 빠른 비 관계형 데이터베이스입니다. 특징...

jsonwebtoken 모듈에 대해 알아보자. jsonwebtoken 모듈 jsonwebtoken 모듈은 JWT를 쉽게 사용하도록 지원하는 패키지입니다. jsonwebtoken 모듈은 함수이므로 따로 미들웨어로 등록하지 않고 import해 바로 사용할 수 있습니다. 주로, 토큰 암호화 및 발급 인증 등을 지원합니다. 설치 np...

JWT (JsonWebToken)에 대해 알아보자. JWT (Json Web Token) JWT (Json Web Token)이란 JSON 방식을 이용하여 정보를 저장하는 Claim 기반의 Web Token입니다. JSON 데이터를 Base64 URL-safe Encode를 통해 인코딩하여 직렬화한 것입니다. Base64 UR...

세션 기반 인증과 토큰 기반 인증에 대해 알아보자. HTTP의 Stateless(비상태성) HTTP는 비상태성이라는 특성을 갖습니다. 서버는 클라이언트의 상태를 저장하지 않기때문에 이전의 요청에서 인증과정을 거쳤는지 알 방법이 없습니다. 이러한 특성은 사용자에게 어떤 서비스를 이용하더라고 매번 로그인을 해야하는 불편함을 강요합니다. 또한 ...

인증과 인가에 대해 알아보자. 인증 (Authentication) Server로 하여금 현재 Request를 보내는 자가 누구인지를 식별하는 것 입니다. 일반적인 인증 절차 User가 입력한 자격증명 정보(ID, Password)를 Server로 전송 및 인증 요청 ...