Origin 기준
허용 origin, credential, preflight 응답을 환경별로 분리합니다.
CORS, CSRF, XSS 대응 보안 흐름
브라우저 공격면은 origin, cookie, 입력과 출력 처리에서 열립니다. Nest 설정은 그 경계를 명시적으로 닫아야 합니다.
State 기준
쿠키 기반 요청은 SameSite, CSRF token, session 만료를 함께 설계합니다.
Output 기준
XSS 방어는 입력 검증, escaping, 보안 header를 한 흐름으로 묶습니다.
와일드카드 origin과 credentials 조합을 배포 전에 금지합니다.
상태 변경 요청에는 토큰 검증 또는 same-site 전략을 둡니다.
secret과 header 값은 로그와 클라이언트 응답에 노출하지 않습니다.