CI 묻고 답하기

제목 csrf 보안관련 질문 드립니다.!!
카테고리 CI 2, 3
글쓴이 미스힐링 작성시각 2020/03/04 10:46:17
댓글 : 4 추천 : 0 스크랩 : 0 조회수 : 12026   RSS

아직 코드이그나이터 시작한지가 얼마안되서 질문이 좀 잦아도 양해 바랍니다 ㅜㅜ

 

1. 로그인 view페이지에서 아직 form액션이 일어나기도 전에 로그인 페이지에 들어오기만 해도 브라우저에 csrf_cookie_ci 키 값이 생겨있더라구요;; 원래 이런건지.. 이렇게 하는것 만으로 어떻게 csrf 보안처리가 되는건지 궁금합니다;;

 

그냥 config.php에 global_xss_filtering = TRUE, csrf_protection = TRUE 이렇게만 해놓으면 자동으로 보안처리가 되는건가요?

 

아니면 제가 컨트롤러 단에서 아래와 같은 추가작업을 하기는 했는데 더 해야될 부분이 있는건가요?

 

1) xss같은 경우는 $this->input->post('email', TRUE) 이렇게 post 파라미터의 두번째 인자값을 TRUE로 처리를 하였고

2) csrf같은 경우는 $this->security->get_csrf_hash() 값을 가져와서 if($this->security->get_csrf_hash()) 이런식으로 

조건문을 태울려고 하는데 2)은 굳이 안해도되는것 같긴한데;; 자료를 찾아봐도 제가 원하는 답을 아직 발견못해서

조언 구해봅니다 ㅜㅜ 

 

 

 다음글 hook 자동로그인 조언 부탁드립니다!! (5)
 이전글 csrf 문의 드립니다!! (2)

댓글

한대승(불의회상) / 2020/03/04 12:05:26 / 추천 0

1. csrf 값이 생성되는것이 맞습니다.

2. post 방식으로 전송되는 form 값에 대해 프레임워크에서 csrf 값을 자동으로 검증합니다.(get 제외)

미스힐링 / 2020/03/04 13:04:58 / 추천 0

답변 감사합니다~

그러면 제가 별도로 form값이 넘어오는 컨트롤러 페이지에

if($this->security->get_csrf_hash() == TRUE)
 {

}

이런 로직을 넣어서 조건식을 만들 필요는 없을까요?

 

한대승(불의회상) / 2020/03/04 14:17:30 / 추천 0
@미스힐링 네 신경쓰지 않으셔도 됩니다.
미스힐링 / 2020/03/05 14:19:17 / 추천 0
오.. 궁금했던건데 답변 감사합니다!!