질문/조언질답게시판

w1.PNG.jpg

민감한 정보라서 URL의 일부를 숨겼습니다

 

위와같이 POST, JSON으로 도메인에 요청을 했는데, 보안정책상 허용되지 않는다는 메세지를 받았습니다

 

해당 컨트롤러 함수에는 아래코드를 입력해 주었습니다

Context::setRequestMethod('JSON');

Context::setResponseMethod('JSON');

 

그리고 아래는 module.xml 파일입니다.

 

w2.PNG

 

외부에서 접근하면 무조건 뻗는거 같은데 방법이 있을까요?

 

+) HTML로 요청하면 [제한된 페이지]라고 뜨고 로그인하라고 하네요

w3.PNG

  • profile

    CSRF 공격의 전형적인 패턴이니까 막히는 것입니다.

    반드시 외부에서 요청해야 하는 액션이라면 check_csrf="false" 속성을 넣어서 무장해제시켜 주세요.

     

    반대로, Referer 헤더와 CSRF 토큰 등을 모두 집어넣어서 요청하는 방법도 있습니다.

    요청하는 쪽의 코드를 컨트롤할 수 있다면 이 방법이 훨씬 낫지요.