로그인, 결제, 개인정보가 이동할 때 평문 노출을 막습니다.
보안은 공격 이름보다 요청 이동 경로에 맞춰 배치한다
브라우저에서 서버와 데이터베이스까지 이어지는 각 구간에 전송, 입력, 권한, 운영 방어를 나누어 둡니다.
사용자 입력은 검증하고, 화면 출력 시 안전하게 이스케이프합니다.
토큰과 SameSite 쿠키로 의도하지 않은 상태 변경 요청을 줄입니다.
파라미터화된 쿼리로 입력 값을 명령이 아닌 데이터로 취급합니다.
로그인 재시도 제한, CDN, 로깅으로 과도한 트래픽과 이상 징후를 봅니다.
민감 정보저장 전에 줄였나?
비밀번호는 해시와 솔트를 사용하고, 불필요한 개인정보는 저장하지 않습니다.
권한인증 뒤 다시 봤나?
로그인 여부와 관리자·작성자 권한을 같은 조건으로 보지 않습니다.
오류정보를 과하게 주나?
사용자에게는 짧게 안내하고, 자세한 원인은 서버 로그에 남깁니다.
새 API가 생길 때마다 입력 검증, 인증, 권한, 상태 변경 보호, 로그가 함께 추가됐는지 같은 순서로 확인합니다.