-
[Spring] 정적 파일 로드시 URL에 jsessionid가 붙는 경우 해결WEB/Spring 2022. 9. 10. 12:13
개요
보안팀으로부터 back office 프로그램에 대한 동적 테스트를 진행해달라는 요청사항을 받아 테스트를 진행하던중, 정적 파일 로드시 URL에 jsessionid가 붙어 XSS 공격으로부터 취약하다는 검진 결과가 나왔다.
해결 방법
톰캣, 즉 서버 입장에서는 웹 브라우저의 쿠키 지원 유무를 모르기 때문에 쿠키값도 전달하고 URL에 jsessionid도 함께 전달하는 것이 원인이었다. 따라서 서버쪽에서 URL 전달 방식은 비활성화하고 쿠키를 통해서만 세션을 유지하도록 설정을 해주면 더이상 URL에 jsessionid가 노출되지 않는다.
스프링 MVC를 사용할 경우
# web.xml <session-config> <tracking-mode>COOKIE</tracking-mode> </session-config>스프링 부트를 사용할 경우
# application.properties server.servlet.session.tracking-modes=cookie # application.yml server: servlet: session: tracking-modes: cookie'WEB > Spring' 카테고리의 다른 글
[Spring] lombok constructor 생성 에러 (0) 2021.01.31 [Spring] 스프링 부트 + 리액트 환경 구축 및 연동 (6) 2021.01.24 [Spring] 스프링의 전통적인 트랜잭션, JPA의 OSIV 전략 (0) 2020.09.29 [Spring] 스프링 부트 동작 원리 (4) 2020.09.15 [Spring] JPA 개념 잡기 (0) 2020.09.14