인프런 커뮤니티 질문&답변

주아아빠님의 프로필 이미지
주아아빠

작성한 질문수

토비의 스프링 부트 - 이해와 원리

스프링 사용 관련 궁금한 사항이 생겨 질문드립니다

작성

·

275

0

스프링 사용 관련 궁금한 사항이 생겨 질문드립니다

토비님 안녕하세요~
오늘 아침에 웹프로그램 개발하다 갑자기 궁금한 사항이 생겼습니다

1. MVC  컨트롤러 를 이용 할 때
   보안상 문제로 get을 사용하지 않고 post 만 작성 하는게 
   맞는것인지 
   웹프로그램을 개발 할 때 
   브라우저 url 
   에는 파라미터가 전혀 안보이는것이 보안상
   최선인지 궁금합니다
   토비님도, 스프링 mvc 를 이용해서 개발 하실때 모두 post 방식으로 
   request 를 하시는지 궁금합니다 
   (간혹 금융권 사이트에서는 url 부분에 파라미터가 안보였던거 같아서요.. )

2. 네이버/카카오/유튜브 open API 등을 누가나 사용 할 수 있는데요
   나쁜 사용자가 악의적인 의도를 갖고 마구 request 호출 을 할 경우
   서버 트랙픽을 방어 하려고 하면 스프링의 어느 기술을 이용해서
   막을 수 있을 까요?

3. 스프링 프레임웍 안에서 
   뷰(프론트) 부분에 JSP / 타임리프 / php / react / vue 
   동시에 여러가지를 함께 쓸 수가 있나요?

감사합니다. 수고하세요

답변 1

1

토비님의 프로필 이미지
토비
지식공유자

간단히 답변 드릴게요. :)

  1. 전혀 아닙니다. get/post와 보안은 별 상관없습니다. Post만 사용하는 건 취향이나 정책이라면 가능합니다만 보안이 이슈가 될 수 없습니다. post로 보내도 바디나 헤더는 다 볼 수 있습니다.

  2. 스프링의 기술이 아닌 앞 단의 네트워크 장비, 보안 장비, WAF 등에서 차단하는 것으로 알고 있습니다. 스프링을 써서 억지로 만든다면 동일 사용자 또는 ip의 요청을 카운팅해서 일정 횟수 이상이면 이후에 거부하게 만들어야 하는데, 거부하는 것 자체도 서버 부하가 걸리므로 그런식으로 막아봤자 악의적으로 요청을 보내서 서버를 다운시킬 수 있습니다. 아무튼 막는 방법은 일반적으로 스프링과는 무관합니다.

  3. 네.

주아아빠님의 프로필 이미지
주아아빠
질문자

토비님 항상 친절하게

답변주셔서 감사합니다

좋은하루 보내세요^^

주아아빠님의 프로필 이미지
주아아빠

작성한 질문수

질문하기