출처 확인
CORS는 브라우저가 보낸 Origin과 서버의 허용 목록이 맞는지 응답 헤더로 전달하는 경계입니다.
웹 보안 경계 정밀 점검 기준
CORS, CSRF, XSS를 같은 설정으로 묶지 않고 요청 출처, 토큰 검증, 출력 인코딩의 책임선으로 나눕니다.
요청 위조 차단
CSRF는 인증 쿠키가 자동 전송되는 상황에서 별도 토큰과 SameSite 정책으로 의도를 확인합니다.
출력 안전성
XSS는 사용자 입력이 HTML이나 스크립트 문맥으로 섞이지 않도록 검증과 이스케이프를 함께 봅니다.
허용 origin, method, credential 설정이 실제 프론트엔드 배포 주소와 일치하는지 확인합니다.
상태 변경 요청은 CSRF 토큰이나 명시적인 인증 헤더처럼 의도를 증명하는 값을 요구합니다.
템플릿 출력, 에러 메시지, 로그 화면에서 원본 입력이 실행 가능한 문자열로 남지 않게 합니다.