14.5. CSRF(Cross site Request Forgery)
여러 JavaScript 인스턴스를 사용하는 대시보드는 @csrf_exempt
데코레이터 사용과 같은 취약점에 대해 감사해야 합니다. CORS(Cross Origin Resource Sharing) 제한을 낮추기 전에 권장 보안 설정을 따르지 않는 대시보드를 평가합니다. 각 응답과 함께 제한적인 CORS 헤더를 보내도록 웹 서버를 구성합니다. 대시보드 도메인 및 프로토콜만 허용합니다(예:Access-Control-Allow-Origin: https://example.com/
). 와일드카드의 출처를 절대 허용하지 않아야 합니다.