[Fix] SSE 연결에서 accessToken URL 노출 보안 문제 해결 #392
Description
문제 설명
현재 SSE(Server-Sent Events) 연결 설정 시 accessToken을 URL 쿼리 파라미터로 전달하고 있습니다. 이는 다음과 같은 보안 위험을 초래합니다:
- 서버 액세스 로그에 토큰 기록
- 브라우저 히스토리에 토큰 저장
- Referer 헤더를 통한 제3자 유출 가능성
해결 방안
백엔드에서 EventSource 연결 시 HttpOnly 쿠키를 통한 인증을 지원하도록 수정이 필요합니다. 프론트엔드에서는 withCredentials: true 옵션을 사용하여 쿠키가 자동으로 전송되도록 설정할 수 있습니다.
관련 정보
- PR: [Refactor] 알림 SSE 훅 구조 개선 및 타입 단순화 #391
- 리뷰 코멘트: [Refactor] 알림 SSE 훅 구조 개선 및 타입 단순화 #391 (comment)
- 요청자: @Chiman2937
- 파일:
src/hooks/use-sse/use-sse-connect/index.ts
Metadata
Metadata
Assignees
Labels
No labels