웹 보안 요청 방어 우선순위
CORS, CSRF, XSS는 모두 요청과 응답 경계에서 막아야 하는 서로 다른 위험입니다.
출처 허용
허용할 origin, method, header를 좁혀 브라우저 접근 범위를 제한합니다.
의도 확인
쿠키 기반 인증에서는 토큰, SameSite, Origin 검증으로 위조 요청을 막습니다.
출력 안전
사용자 입력을 그대로 HTML에 넣지 않고 이스케이프와 CSP를 함께 적용합니다.
흐름 테스트
인증 쿠키, 프리플라이트, 스크립트 삽입 케이스를 따로 확인합니다.
안전한 기본값
기본 허용보다 명시적 허용 목록을 먼저 둡니다.
운영 점검
브라우저 콘솔과 서버 로그를 같이 보고 차단 원인을 분리합니다.
보안 경계 검수
요청이 막힌 이유를 CORS, CSRF, XSS 중 하나로 설명할 수 있어야 합니다.