REQUEST DEFENSE
입력, 권한, 응답, 로그가 서로 다른 실패를 막는다
Helmet, ValidationPipe, Guard, 최소 권한, 예외 필터는 각각 다른 위치에서 방어선을 만든다.
1
Header
helmet으로 CSP, HSTS, noSniff 같은 기본 헤더를 적용한다.
2
DTO
whitelist, forbidNonWhitelisted, transform으로 입력 모양을 확정한다.
3
Guard
JWT, 세션, Role 조건은 핸들러 실행 전에 실패시킨다.
4
Secret
외부 자격 증명은 최소 권한과 별도 저장소로 제한한다.
5
Filter
클라이언트 응답은 축소하고 서버 로그에는 추적 가능한 원인을 남긴다.
검사 위치
서버 경계
프런트 검증은 편의 기능이고 보안 경계는 서버다.
패치 경로
npm audit · Dependabot · Snyk
알려진 취약점은 릴리스 흐름 안에서 처리한다.
로그 기준
민감값 마스킹
토큰, 비밀번호, 개인정보가 로그에 남지 않게 필터링한다.