[Fix] WAF 브라우저 요청 허용 규칙 개선

[coderabbitai]

개요

WAF의 Allow-Browser-Requests 규칙이 현재 origin 또는 referer 헤더의 존재 여부만 확인하고 있어 보안상 취약합니다. 헤더 값을 검증하지 않기 때문에 공격자가 임의의 헤더를 추가하여 WAF 보호를 우회할 수 있습니다.

보안 위험

• XSS, CSRF 등 브라우저 기반 공격이 WAF를 우회 가능
• 봇이나 악의적인 스크립트가 간단히 헤더를 추가하여 보호를 우회 가능
• AWS Managed Rule Sets가 사실상 무력화될 수 있음

개선 방안

헤더 값을 검증하여 허용된 도메인(예: eatda.net)에서 온 요청만 허용하도록 규칙을 강화해야 합니다.

관련 링크

• PR: [Feat] WAF 설정 변경 prod 적용 #206
• 관련 논의: [Feat] WAF 설정 변경 prod 적용 #206 (comment)

요청자

@lvalentine6