531 refactor dnd module api url edit and enhancement #535
Conversation
- 임시 컨트롤러 작업 완료 - 위젯 이벤트에 대한 CRUD 완성 - 임시로 이벤트가 등록되었는지 여부 파악을 위한 전체 리스트 보여주는 API - 알람 이벤트 컨트롤러가 아직, 이벤트 알람이 가진 않음
|
🎉 @weejihye 님 랜덤 리뷰어로 당첨되셨습니다! 리뷰를 부탁드립니다. 🙏 |
![github-advanced-security[bot]](https://avatars.githubusercontent.com/in/57789?s=60&v=4){kind=small}
| private final DnDService dndService; | ||
|
|
||
| @PostMapping("/create") | ||
| public ResponseEntity<?> create(@RequestBody TeamDnD data) { |
Check failure
Code scanning / SonarCloud
Persistent entities should not be used as arguments of "@RequestMapping" methods High
There was a problem hiding this comment.
해당 부분의 보안문제는 한마디로 정의하면 다음과 같다.
DTO 형태로 재정의 되지 않은 객체 데이터 형태를 주고 받는 방식은 보안적인 문제를 야기 할 수 있으며, 그렇기에 제한적인 부분만 정재시킨 DTO 형태로의 수정을 요청한 것이다.
하지만 해당 기능의 기획 자체가 프론트에서 사용 가능하도록 만드는 것이었으므로, 그러한 방식으로 프론트-백엔드 간의 협의 방식으로 변경시 의도를 침해하게됨
따라서 향후 이 부분에 대해 다른 방식으로 보안 적용이 필요해 보인다.
| } | ||
|
|
||
| @PostMapping("/update") | ||
| public ResponseEntity<?> update(@RequestBody TeamDnD data) { |
Check failure
Code scanning / SonarCloud
Persistent entities should not be used as arguments of "@RequestMapping" methods High
There was a problem hiding this comment.
해당 부분의 보안문제는 한마디로 정의하면 다음과 같다.
DTO 형태로 재정의 되지 않은 객체 데이터 형태를 주고 받는 방식은 보안적인 문제를 야기 할 수 있으며, 그렇기에 제한적인 부분만 정재시킨 DTO 형태로의 수정을 요청한 것이다.
하지만 해당 기능의 기획 자체가 프론트에서 사용 가능하도록 만드는 것이었으므로, 그러한 방식으로 프론트-백엔드 간의 협의 방식으로 변경시 의도를 침해하게됨
따라서 향후 이 부분에 대해 다른 방식으로 보안 적용이 필요해 보인다.
|
Paul2021-R
deleted the
531-refactor-dnd-module-api-url-edit-and-enhancement
branch
변경 사항
테스트 결과