작성
·
612
1
쌤 안녕하세요!
또 궁금한게 생겨서 질문 드립니다!
회사에서 플젝을 하고있는데용,,
보안때문에 post만 이용해서 개발하라고 해서 삽질 중입니다..
이해가 안되서 이유를 여쭤보니
get과 같은 요청시 url에 id 같은 요청 데이터가 공개되는 부분때문이라는데..
제가 생각하기에는 이게 보안이슈가 그렇게 크게 있을것 같진 않거든요,,
js에서도 사용하는 데이터고 어차피 다보이는건디..
그리고 쌤 강의에서도 url 설계할때 memberId 같은 데이터도 url에 사용하시고 있구요,,
혹시 쌤은 이부분에 대해 어떻게 생각하시는지 알고 싶습니다!!
그리고 혹시 쌤은 데이터를 어떤 기준으로(어느정도까지가 보안이슈가 없는지?) url 설계에 사용하시는지 궁금합니다!!
항상 감사드립니다!
답변 1
2
안녕하세요. MOOK L님
GET이든 POST이든 HTTP 프로토콜을 사용하면 내부 데이터는 결국 패킷으로 전송되기 때문에 결국 다 노출됩니다.
그래서 결국 https나 전송 구간간에 암호화를 하는 것이 중요하다 생각합니다.
감사합니다.
db의 pk 같은 값을 pathvariable로 사용해도 됩니다.
그리고 꼭 pk를 pathvariable로 사용하지 않아도 됩니다. 데이터베이스에서 사용하는 어떤 unique id를 사용해도 됩니다.
아니면 MOOK L님 말씀처럼 해당 부분만 암호화해도 됩니다.
회사의 보안정책에 따라 다르겠지만, 제가 다닌 대부분의 회사들은 해당 부분을 암호화하지 않았습니다.
그래도 회사마다 사정이 있을 수 있으니 관련된 부분은 회사 보안팀에 자세히 문의해보면 좋을 것 같아요.
감사합니다.
쌤 그러면
https://www.inflearn.com/member/12
이런 url의 경우에 빨간 줄 쳐져있는 12라는 부분이 db의 memberIdx라고 하면
이걸 그냥 url로 사용 하는게 아니라 이것도 암호화 시켜야하나요?
db의 pk 같은 데이터들을 url의 pathvariable로 사용해도 되는 건가요??