hyungi/TK-FB-Project
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
bea62dfdee0ba3cef623a69f4a6eafa178a4ae28
TK-FB-Project/api.hyungi.net/config/security.js
Hyungi Ahn 16f1d7fae5 refactor: Phase 2-2 - 사용자 관리 모듈화 및 설정 파일 분리 
사용자 관리 API를 컨트롤러/라우터 패턴으로 리팩토링하고,
CORS 및 보안 설정을 별도 파일로 분리하여 코드 구조 개선

주요 변경사항:
- userController.js: 새로운 에러 핸들링 및 로깅 시스템 적용
  * ValidationError, NotFoundError, ConflictError 등 커스텀 에러 사용
  * logger 유틸리티로 구조화된 로깅
  * 관리자 권한 검증 헬퍼 함수 추가

- index.js: 인라인 사용자 관리 라우트 제거 (888 → 605 lines)
  * 283줄 감소로 코드 가독성 대폭 향상
  * userRoutes 모듈 import 및 사용

- userRoutes.js: 문서화 및 로깅 개선
  * JSDoc 헤더 추가
  * adminOnly 미들웨어에 로깅 추가

신규 파일:
- config/cors.js: CORS 정책 설정 (허용 origin, 메소드, 헤더)
- config/security.js: Helmet 보안 헤더 설정 (CSP, HSTS, XSS 방지)
- middlewares/activityLogger.js: HTTP 요청/응답 활동 로깅

파일 통계:
- 3개 파일 수정, 3개 파일 추가
- +437 -480 (net -43 lines)

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
2025-12-11 11:01:06 +09:00

93 lines
1.7 KiB
JavaScript
Raw Blame History

/**
* 보안 설정 (Helmet)
*
* HTTP 헤더 보안 설정
*
* @author TK-FB-Project
* @since 2025-12-11
*/
/**
* Helmet 보안 설정 옵션
*/
const helmetOptions = {
/**
* Content Security Policy
* XSS 공격 방지
*/
contentSecurityPolicy: {
directives: {
defaultSrc: ["'self'"],
styleSrc: ["'self'", "'unsafe-inline'", "https://fonts.googleapis.com"],
scriptSrc: ["'self'", "'unsafe-inline'", "'unsafe-eval'"], // 개발 중 unsafe-eval 허용
imgSrc: ["'self'", "data:", "https:", "blob:"],
fontSrc: ["'self'", "https://fonts.gstatic.com"],
connectSrc: ["'self'", "https://api.technicalkorea.com"],
frameSrc: ["'none'"],
objectSrc: ["'none'"]
}
},
/**
* HTTP Strict Transport Security (HSTS)
* HTTPS 강제 사용
*/
hsts: {
maxAge: 31536000, // 1년
includeSubDomains: true,
preload: true
},
/**
* X-Frame-Options
* 클릭재킹 공격 방지
*/
frameguard: {
action: 'deny'
},
/**
* X-Content-Type-Options
* MIME 타입 스니핑 방지
*/
noSniff: true,
/**
* X-XSS-Protection
* XSS 필터 활성화
*/
xssFilter: true,
/**
* Referrer-Policy
* 리퍼러 정보 제어
*/
referrerPolicy: {
policy: 'strict-origin-when-cross-origin'
},
/**
* X-DNS-Prefetch-Control
* DNS prefetching 제어
*/
dnsPrefetchControl: {
allow: false
},
/**
* X-Download-Options
* IE8+ 다운로드 옵션
*/
ieNoOpen: true,
/**
* X-Permitted-Cross-Domain-Policies
* Adobe 제품의 크로스 도메인 정책
*/
permittedCrossDomainPolicies: {
permittedPolicies: 'none'
}
};
module.exports = helmetOptions;
Reference in New Issue View Git Blame Copy Permalink