스프링 시큐리티를 이용하면 기본적으로 csrf() 옵션이 설정된다. 그렇기 때문에 GET Method를 제외한 POST, DELETE 등이 제대로 실행되지 않고 403 Forbidden 에러를 내뱉을 수 있다. 위 에러는 아래 테스트코드에서 발생했다. 여기서 csrf 공격이란, 간단히 말해서 아래와 같다. 공격자가 임의로 이미지나 하이퍼링크에 자신이 만든 악성링크를 첨부하거나, 이메일로 전송한다. 사용자는 실수로 해당 링크를 클릭한다. 이 때, 사용자는 인증이 완료된 로그인된 상태여야 한다. 공격자는 사용자가 링크를 클릭함으로써 JSESSIONID 등 권한을 탈취하여 마음껏 크래킹할 수 있는 상태가 된다. 이러한 공격을 csrf 공격이라고 한다. 왜 테스트 코드에서 403 Forbidden이 뜬걸까? 먼..