[Django] 🔐 CSRF 토큰, 어떻게 동작할까?

💡 CSRF 토큰은 무엇인가요?

CSRF(Cross-Site Request Forgery)는
사용자가 의도하지 않은 요청을 서버에 보내는 웹 공격 방식입니다.
Django에서는 이를 막기 위해 CSRF 토큰이라는 보안 장치를 제공합니다.

---

🔄 CSRF 토큰의 작동 원리

✅ 1. 서버가 토큰을 생성하여 전송

• 사용자가 페이지를 요청하면, Django는 CSRF 토큰을 생성해 HTML 내 <form>에 포함시킵니다.
• 이 토큰은 매번 다르며, 사용자의 세션과 연결되어 저장됩니다.

✅ 2. 클라이언트는 요청 시 토큰을 포함해야 함

• 사용자가 폼을 제출할 때, 같은 CSRF 토큰을 요청과 함께 전송해야 합니다.
• 일반적으로 {% csrf_token %} 템플릿 태그를 사용하여 <form> 내부에 삽입합니다.

✅ 3. 서버는 요청의 토큰을 검증

• 서버는 요청에 포함된 토큰이 세션에 저장된 값과 일치하는지 확인합니다.
• 일치하지 않으면, Django는 403 Forbidden 오류를 발생시켜 요청을 차단합니다.

---

❌ 토큰이 없으면 생기는 문제

<form method="POST">
    <label for="email">Email:</label>
    <input name="email" type="email">
    <button type="submit">Submit</button>
</form>

• 위처럼 토큰이 없는 POST 폼은 Django에서 에러 발생!
• 403 Forbidden (CSRF verification failed)가 뜨며 요청 거부

---

✅ CSRF 토큰 제대로 쓰기

<form method="POST">
    {% csrf_token %}
    <label for="email">Email:</label>
    <input name="email" type="email">
    <button type="submit">Submit</button>
</form>

• {% csrf_token %}을 넣으면, Django가 자동으로 hidden input으로 토큰을 삽입해줍니다.

---

✏️ 정리하면

동작 순서 설명

1	서버가 토큰 생성 및 페이지에 삽입
2	사용자는 토큰을 함께 제출
3	서버는 토큰 유효성 검증
4	유효하지 않으면 요청 차단 (403 에러 발생)

---

🏷️ 관련 키워드

#CSRF, #Django, #Form보안, #POST요청, #403에러, #웹보안, #장고기초

---

필요하다면 Ajax에서 CSRF 토큰을 포함하는 방법도 이어서 정리해드릴게요!