JWT의 등장 배경
header, payload 부분에도 암호화가 필요하지 않을까? 아니다.
⬆️ 깃헙에 내용 추가했습니다!(12/26)
XSS + CSRF
39초 : 피해자의 비밀번호를 변경하는 요청 생성
1분 23초 : 피해자의 자금을 탈취하는 요청 생성
공격자는 위조된 요청을 게시판이나 메일 등에 삽입하고,
피해자는 해당 게시글이나 메일을 확인한 경우 그 위조된 요청을 피해자도 모르게 실행하게 됨을 알 수 있다. ⇒ csrf
(동영상에서 후반부에 피해자의 비밀번호가 변경되고, 잔액이 0이 되었음을 확인할 수 있음)