XSS·CSRF 방어를 위한 JWT Refresh Token Rotation 구현하는 3가지 방법
프론트엔드 개발 시 LocalStorage에 JWT를 저장하면 XSS 공격 한 번에 모든 권한이 탈취됩니다. 반대로 쿠키에만 의존하면 CSRF 공격의 표적이 되기 쉽습니다. 이 글은 HttpOnly 쿠키와 Refresh Token Rotation(RTR)을 결합해…
OWASP API Top 10: 핵심 취약점 방어 및 보안 설계
마 이크로서비스 아키텍처(MSA)의 확산과 SPA(Single Page Application)의 대중화로 인해 API는 단순한 데이터 통로를 넘어 비즈니스 로직의 핵심이 되었습니다. 하지만 API 엔드포인트가 외부로 직접 노출되는 빈도가 늘어나면서 공격 표면(Attack Surface) 또한 급격히 확장되었습니다. 기존의 경계 보안(Perimeter S…