Nest 보안 점검표

Nest 보안 경계 점검 기준

요청이 들어오는 출처, 상태를 바꾸는 의도, 저장되는 입력, 다시 나가는 응답을 나누어 CORS, CSRF, XSS 방어를 빠짐없이 확인합니다.

Origin 경계

CORS

브라우저가 허용된 프론트엔드에서 온 요청인지 확인합니다.

CORS 허용값 enableCors({ origin, credentials })

Cookie 경계

SESSION

세션 쿠키가 자동 첨부될 때 전송 조건을 좁혀 피해를 줄입니다.

쿠키 속성 SameSite + Secure + HttpOnly

Mutation 경계

CSRF

상태 변경 요청이 사용자의 실제 의도인지 토큰으로 확인합니다.

CSRF 토큰 csrf token on write

Body 경계

PIPE

DTO에 없는 필드와 잘못된 타입이 내부 로직으로 들어오지 않게 합니다.

DTO 화이트리스트 ValidationPipe whitelist

Render 경계

XSS

저장된 입력이 화면에서 스크립트로 실행되지 않도록 처리합니다.

출력 이스케이프 escape + sanitize-html

Header 경계

HELMET

CSP와 기본 보안 헤더로 브라우저 방어선을 점검합니다.

CSP 헤더 helmet({ csp })