이 글에서는 Spring Security의 Swagger에서 API 테스트 시, CSRF 토큰을 자동으로 포함되지 않아 403 Forbidden이 발생하는 문제 해결 방법을 공유합니다. 문제 상황: Swagger → 백엔드 간 요청에서 CSRF 헤더 누락해결 방법: Springdoc Swagger UI에 CSRF 설정 추가회고참고문제 상황: Swagger → 백엔드 간 요청에서 CSRF 헤더 누락Spring Security의 CSRF가 활성화된 환경에서는 GET·HEAD·OPTIONS 외의 요청(PUT/POST/PATCH/DELETE)을 보낼 때반드시 다음 둘 중 하나가 필요합니다.요청 헤더에 X-XSRF-TOKEN혹은 hidden form field 기반의 _csrf 필드(2)번 방법은 Spring M..

CORS 허용 설정을 통해 다른 출처(Origin)의 접근을 허용할 수 있습니다.하지만 GET외의 요청은 CSRF 차단하므로, 사용자 인증/인가와는 별개로 403 Forbidden이 발생합니다.이번에는 CSRF가 무엇인지 되짚어보고, Spring Security에서의 기본 CSRF 동작 이해와 Refresh Token에 CSRF 설정이 필요한 이유 및 설정 방법에 대해 다룹니다. CSRF (Cross Site Request Forgery) 란?Refresh Token의 CSRF 보호가 필요한 이유Spring Security의 CSRF 기본 설정REST + JWT(Refresh Token Rotation)의 CSRF 설정CSRF 핸들러 설정: CsrfTokenRequestHandler회고참고 CSRF (C..