CSRF

CSRF (Cross-Site Request Forgery - 사이트간 요청 위조)

• 자동 글 작성, 쇼핑, 댓글 달기 등 유저가 의도치 않는 행동을 실행하는 공격

• 장고에선 이를 막기 위해 CSRF 토큰을 제공하며 Post 요청 시 필수로 발급해야 한다.
• CSRF 토큰은 뷰가 호출되기 직전, 미들웨어 함수들이 호출되는데, 이때 체크한다.
• 미들웨어는 뷰가 호출되기 전, 호출된 후에 실행되는 함수들의 묶음을 말한다.

• 장고는 항상 Get 방식을 통해 사이트를 보여주고, 사이트 입력값을 Post 방식으로 넘긴다.
• 그리고 CSRF 토큰은 Get 단계에서 생성하며, 입력 값과 함께 Post로 넘기는 과정에서 토큰을 체크한다.
• 토큰이 유효하면 post요청에 따른 뷰를 호출해주고, 아닐 경우 403 에러를 출력한다.
• csrf는 유저 인증 토큰이 아닌, 단지 현재 요청이 유효한지를 보는 것이다.