X-Frame-Options μ Spring security
μΉμμΌμ μ΄μ©ν΄ μ€μκ° μ±ν
νλ‘κ·Έλ¨μ λ§λ€μλλ°, μ€νν΄λ³΄λ λ€μκ³Ό κ°μ μλ¬κ° λνλ¬μ΅λλ€. μ΄μ λ₯Ό μ°Ύμ보λ spring security λ²μ 4.0.x μ΄μ λΆν°λ κΈ°λ³Έμ μΌλ‘ X-Frame-Options Click jacking 곡격μ λ§μμ£Όλ μ€μ μ νλλ‘ λμ΄μκΈ° λλ¬Έμ΄μμ΅λλ€.
Click jacking 곡격μ΄λ?
ν΄κ²°λ°©μ
X-Frame-Options μ’
λ₯λ‘λ μλ 3κ°μ§κ° μμ΅λλ€.
β’
DENY : ν΄λΉ νμ΄μ§λ frame μ νμν μ μμ (μλ¬μ μμΈ)
β’
SAMEORIGIN : ν΄λΉ νμ΄μ§μ λμΌν origin μ ν΄λΉνλ frame λ§ νμκ°λ₯
β’
ALLOW-FROM uri : ν΄λΉ νμ΄μ§λ μ§μ λ origin μ ν΄λΉνλ frame λ§ νμ
μ ν¬ νλ‘μ νΈμ κ²½μ° μ€νλ§ μνλ¦¬ν° 5.7.6 λ²μ μ μ°κ³ μκΈ° λλ¬Έμ μ΄λ° μλ¬κ° λ°μνκ³ , μ΄μ€μμ λλ²μ§Έ μ΅μ
μ μ΄μ©νμ¬ ν΄κ²°νμμ΅λλ€.