JWT의 보안적 고려사항

XSS: client-side script 공격(target: client)

CSRF: 사용자의 웹사이트가 아닌 공격용 사이트(피싱)에서 사용자의 요청을 변조(target: server)

• CORS → CSRF 공격 방어

  • corsheaders 라이브러리 사용
    • CORS Whitelist 사용(django에서 CORS_ORIGIN_WHITELIST 설정)

• CSRF Token + JWT Token 사용

  • JWT token은 HttpOnly cookie에 저장해서 전송(response.set_cookie(..., httponly=True)) → XSS 공격 방어
  • CSRF Token은 cookie에 전송

결론: CSRF + JWT TOKEN 사용

Where should we store the JWT for SPA? Memory, Cookie, or LocalStorage?

django - example

Django Rest Framework custom JWT authentication