CORS
허용할 origin, method, header를 좁혀 브라우저의 교차 출처 접근 범위를 제한합니다.
보안 경계
브라우저 보안 경계
CORS, CSRF, XSS는 모두 웹 경계에서 보이지만 막는 위치가 다릅니다. 출처, 의도, 콘텐츠, 응답 헤더를 분리하면 Nest 설정 지점이 선명해집니다.
CSRF
쿠키 기반 상태 변경에는 토큰, SameSite, Origin 검증을 붙입니다.
XSS
사용자 입력은 저장 전 정제하고 출력 시 이스케이프와 CSP로 실행 가능성을 낮춥니다.
보안 헤더
Helmet, HSTS, noSniff, frameguard로 브라우저가 위험한 해석을 하지 않게 합니다.