AI 생성 API는 Wildcard CORS를 계속 포함한 채 제공된다. 해결책.
(dev.to)
AI 코드 생성기가 Express 및 FastAPI 프로젝트에서 보안에 취약한 Wildcard CORS 설정을 기본 제공함에 따라, 인증 정보가 포함된 프로덕션 환경에서의 심각한 교차 출처 공격과 데이터 유출 위험이 경고되었습니다.
이 글의 핵심 포인트
- 1AI 코드 생성기(Cursor, Claude Code, Copilot)가 Express 및 FastAPI 프로젝트에서 Wildcard CORS (`Access-Control-Allow-Origin: *`)를 기본값으로 생성합니다.
- 2Wildcard CORS와 쿠키 인증(`allow_credentials=True`)의 결합은 CWE-942에 해당하는 심각한 교차 출처 공격 취약점을 야기합니다.
- 3