결제 콜백 페이지를 위한 SameSite 설정 및 CSRF 방어 필요성 ⭐

<aside> 결제 후 콜백 페이지로 이동 시 SameSite 설정의 필요성과 설정을 하게 되면 CSRF 공격에 취약해지는 점을 살펴보고 해결 방법을 알아봅니다.

</aside>

문제

국내외 PG사에서 결제가 완료되면 나의 사이트로 콜백 하게 되는데 이 과정에서 크롬 정책 변화로 쿠키를 전달받지 못해 세션이 끊기기 됩니다.

NFT 구매 완료 후 부모 창의 페이지 이동 시 세션 정보가 사라져 로그인 창이 뜨는 상황입니다.
해당 이미지는 GIF 이미지로 PDF시 정적인 이미지로 대체되며, 자세한 내용은 노션에서 확인 할수 있습니다.

NFT 구매 완료 후 부모 창의 페이지 이동 시 세션 정보가 사라져 로그인 창이 뜨는 상황입니다. 해당 이미지는 GIF 이미지로 PDF시 정적인 이미지로 대체되며, 자세한 내용은 노션에서 확인 할수 있습니다.

February, 2020: Chrome 80 Stable will begin rolling out over a period of time. SameSite-by-default and SameSite=None-requires-Secure will then start being enabled as the default behavior during the Chrome 80 Stable lifecycle.

크롬 80 버전 이전에는 Samesite 기본 값이 None으로 *크로스사이트가 모두 허용되었다면 정책 변화 이후로 Samesite 기본 값이 Lax 변경되었습니다. 그래서 결제를 진행하고 난 뒤 콜백 사이트로 돌아올 때 더 이상 쿠키 정보가 전달되지 않아 세션이 유지되지 않습니다.

*크로스사이트 : 스키마(프로토콜): http, https / 호스트(도메인): example.com / 포트: 80, 443

이 중 하나라도 다르면 크로스 사이트로 간주되며, 크로스 사이트는 브라우저가 보안 정책(CORS, SameSite 쿠키 등)을 적용하는 기준이 됩니다.

SameSite 속성 3가지

None : 크로스 사이트 모든 요청에 쿠키를 전송합니다.
Lax :
- 쿠키가 전송되는 경우 : 사용자가 링크를 클릭하거나, 브라우저 주소 창에 URL을 직접 입력, GET 폼 제출과 같은 탑 레벨 내비게이션 요청
- 쿠키가 전송되지 않는 경우 : 크로스 사이트 POST 요청, 이미지 로드, iframe, AJAX 요청 등
- 브라우저는 동일 출처 정책 위반으로 판단되면 쿠키를 전송하지 않게 되고 만약 CSRF 공격을 하더라도 더 이상 쿠키가 전송되지 않기 때문에 CSRF 공격을 방지할 수 있습니다.
Strict : Lax보다 더 엄격한 속성으로 동일한 사이트에서 발생한 요청에만 쿠키를 전송합니다.

해결방법

Spring : application.yml

Laravel : config\session.php