Fix/319-1 Json 파싱 에러 수정

[Ksr-ccb]

🔎 작업 내용

• 원인 : rawBody 전체를 escape 하면 JSON 키("name", "age" 등)나 구분자({, } 등)도 escape 대상이 됨.
  • 그 결과:
    • "name":"<script>" → "name":"<script>" ← 이건 괜찮은데,
    • "{"name":"value"}" → "{"name":... 이렇게 되면 JSON으로 파싱 불가능
      -> 필드값만 escape하도록 바꿈

---

🛠️ 변경 사항

• this.sanitizedJsonBody = sanitizeJsonBody(rawBody); //JSON 필드 값만 escape

---

📌 고민 사항

• 이쯤되니 굳이싶다.

---

🙏 코드 리뷰 전 확인 체크리스트

• 불필요한 콘솔 로그, 주석 제거
• 커밋 메시지 컨벤션 준수 (type : )
• 기능 정상 동작 확인

Summary by CodeRabbit

• 버그 수정

  • JSON 요청 본문에서 XSS 방지를 위한 텍스트 필드만 안전하게 이스케이프 처리하여 JSON 구조가 손상되는 문제를 해결했습니다.

• 기타

  • XSS 필터에 요청의 Content-Type을 디버그 로그로 남기는 기능이 추가되었습니다.

[coderabbitai]

Walkthrough

이번 변경에서는 XSS 방지를 위한 JSON 본문 처리 로직이 개선되어, JSON 구조를 보존하면서 텍스트 필드 값만 이스케이프하도록 수정되었습니다. 또한 XSS 필터에 로깅 기능이 추가되어 필터 적용 시 요청의 Content-Type을 디버그 로그로 기록합니다.

Changes

파일/경로	변경 요약
.../domain/security/common/XssRequestWrapper.java	JSON 본문 이스케이프 방식을 전체 문자열 처리에서 필드별 처리로 개선, Jackson의 ObjectMapper 활용, 실패 시 원본 반환, 관련 private 메서드 추가
.../domain/security/filter/XssFilter.java	Lombok의 @slf4j 추가, doFilterInternal 내 Content-Type 디버그 로그 추가

Estimated code review effort

🎯 2 (Simple) | ⏱️ ~7 minutes

Poem

🐇
JSON을 살포시 파싱하며
토끼는 XSS를 막으려 애쓰네.
로그 한 줄 남기며 Content-Type을 읽고,
안전한 데이터로 들판을 뛰놀지요!

(방긋, 보안도 토끼처럼 꼼꼼하게!)

Note

⚡️ Unit Test Generation is now available in beta!

Learn more here, or try it out under "Finishing Touches" below.

✨ Finishing Touches

• 📝 Generate Docstrings

🧪 Generate unit tests

• Create PR with unit tests
• Post copyable unit tests in a comment
• Commit unit tests in branch fix/319-1

---

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

• X
• Mastodon
• Reddit
• LinkedIn

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>, please review it.
  • Explain this complex logic.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query. Examples:
  • @coderabbitai explain this code block.
  • @coderabbitai modularize this function.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read src/utils.ts and explain its main purpose.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.
  • @coderabbitai help me debug CodeRabbit configuration file.

Support

Need help? Create a ticket on our support page for assistance with any issues or questions.

Note: Be mindful of the bot's finite context window. It's strongly recommended to break down tasks such as reading entire modules into smaller chunks. For a focused discussion, use review comments to chat about specific files and their changes, instead of using the PR comments.

CodeRabbit Commands (Invoked using PR comments)

• @coderabbitai pause to pause the reviews on a PR.
• @coderabbitai resume to resume the paused reviews.
• @coderabbitai review to trigger an incremental review. This is useful when automatic reviews are disabled for the repository.
• @coderabbitai full review to do a full review from scratch and review all the files again.
• @coderabbitai summary to regenerate the summary of the PR.
• @coderabbitai generate docstrings to generate docstrings for this PR.
• @coderabbitai generate sequence diagram to generate a sequence diagram of the changes in this PR.
• @coderabbitai generate unit tests to generate unit tests for this PR.
• @coderabbitai resolve resolve all the CodeRabbit review comments.
• @coderabbitai configuration to show the current CodeRabbit configuration for the repository.
• @coderabbitai help to get help.

Other keywords and placeholders

• Add @coderabbitai ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Documentation and Community

• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[coderabbitai]

Actionable comments posted: 6

🧹 Nitpick comments (2)

cs25-service/src/main/java/com/example/cs25service/domain/security/filter/XssFilter.java (1)

28-28: 디버그 로그 위치를 재고해보세요.

로그가 필터 체인 실행 후에 기록되고 있습니다. XSS 필터링 전 요청 정보를 로깅하려면 filterChain.doFilter() 호출 전으로 이동하는 것을 고려해보세요.

        XssRequestWrapper wrappedRequest = new XssRequestWrapper(request);
+       log.debug("XSS Filter applied for content type: {}", request.getContentType());
        filterChain.doFilter(wrappedRequest, response);
-
-       log.debug("XSS Filter applied for content type: {}", request.getContentType());

cs25-service/src/main/java/com/example/cs25service/domain/security/common/XssRequestWrapper.java (1)

96-96: ObjectMapper 인스턴스 재사용을 고려하세요.

매 요청마다 새로운 ObjectMapper 인스턴스를 생성하는 것은 성능상 비효율적입니다. static final 필드로 선언하여 재사용하는 것을 권장합니다.

public class XssRequestWrapper extends HttpServletRequestWrapper {

+   private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper();
    private final String sanitizedJsonBody;

    // ...

    private String sanitizeJsonBody(String rawBody) {
        try {
-           ObjectMapper mapper = new ObjectMapper();
-           JsonNode root = mapper.readTree(rawBody);
+           JsonNode root = OBJECT_MAPPER.readTree(rawBody);
            sanitizeJsonNode(root);
-           return mapper.writeValueAsString(root);
+           return OBJECT_MAPPER.writeValueAsString(root);
        } catch (Exception e) {
            return rawBody;
        }
    }

📜 Review details

Configuration used: CodeRabbit UI
Review profile: CHILL
Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 86fbc96 and 9375bc3.

📒 Files selected for processing (2)

• cs25-service/src/main/java/com/example/cs25service/domain/security/common/XssRequestWrapper.java (3 hunks)
• cs25-service/src/main/java/com/example/cs25service/domain/security/filter/XssFilter.java (2 hunks)

🔇 Additional comments (8)

cs25-service/src/main/java/com/example/cs25service/domain/security/filter/XssFilter.java (2)

9-9: 로깅 기능 추가가 적절합니다.

Lombok의 @Slf4j 어노테이션을 통한 로깅 기능 추가가 올바르게 구현되었습니다.

Also applies to: 16-16

---

9-9: 로깅 기능 추가가 적절합니다.

Lombok의 @Slf4j 어노테이션을 통한 로깅 기능 추가가 올바르게 구현되었습니다.

Also applies to: 16-16

cs25-service/src/main/java/com/example/cs25service/domain/security/common/XssRequestWrapper.java (6)

3-5: Jackson 의존성 추가가 적절합니다.

JSON 파싱을 위한 Jackson 라이브러리 import가 올바르게 추가되었습니다.

---

21-21: 필드명 변경이 적절합니다.

sanitizedJsonBody로 필드명을 변경하여 처리된 데이터임을 명확히 표현했습니다.

---

30-30: JSON 본문 처리 로직이 개선되었습니다.

전체 JSON 문자열을 이스케이프하는 대신 필드 값만 이스케이프하도록 변경하여 JSON 파싱 오류 문제를 해결했습니다.

---

3-5: Jackson 의존성 추가가 적절합니다.

JSON 파싱을 위한 Jackson 라이브러리 import가 올바르게 추가되었습니다.

---

30-30: 개선된 JSON 처리 로직을 확인했습니다.

전체 JSON 문자열을 이스케이프하는 대신 필드 값만 처리하는 새로운 접근 방식이 JSON 파싱 오류 문제를 해결합니다.

---

106-123: 재귀 처리 로직이 올바르게 구현되었습니다.

JSON 노드를 재귀적으로 탐색하여 텍스트 필드만 이스케이프 처리하는 로직이 정확합니다. 객체, 배열, 텍스트 노드를 모두 적절히 처리하고 있습니다.

[coderabbitai]

🛠️ Refactor suggestion

JSON 처리 성능과 보안을 개선해주세요.

현재 구현에서 몇 가지 개선이 필요합니다:

1. ObjectMapper 재사용: 매 요청마다 새 인스턴스를 생성하면 성능에 영향을 줍니다.
2. 보안 설정: ObjectMapper에 보안 설정이 필요합니다.
3. 예외 처리: 예외를 완전히 무시하면 디버깅이 어려워집니다.

다음과 같이 개선하는 것을 권장합니다:

+private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper()
+    .disable(com.fasterxml.jackson.databind.DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES)
+    .enable(com.fasterxml.jackson.core.JsonParser.Feature.STRICT_DUPLICATE_DETECTION);

 private String sanitizeJsonBody(String rawBody) {
     try {
-        ObjectMapper mapper = new ObjectMapper();
-        JsonNode root = mapper.readTree(rawBody);
+        JsonNode root = OBJECT_MAPPER.readTree(rawBody);
         sanitizeJsonNode(root);
-        return mapper.writeValueAsString(root);
+        return OBJECT_MAPPER.writeValueAsString(root);
     } catch (Exception e) {
-        // 문제가 생기면 원본 반환 (fallback)
+        log.warn("Failed to sanitize JSON body, returning original: {}", e.getMessage());
         return rawBody;
     }
 }

🤖 Prompt for AI Agents

In
cs25-service/src/main/java/com/example/cs25service/domain/security/common/XssRequestWrapper.java
around lines 94 to 104, the sanitizeJsonBody method creates a new ObjectMapper
instance on each call, lacks security configurations, and silently swallows
exceptions. To fix this, refactor to reuse a single, properly configured
ObjectMapper instance as a class-level static or final field with necessary
security settings applied. Also, improve exception handling by logging the
exception details before returning the fallback rawBody to aid debugging.

---

🛠️ Refactor suggestion

예외 처리 로직을 개선하세요.

JSON 파싱 실패 시 원본 body를 반환하는 fallback 로직이 보안상 위험할 수 있습니다. 파싱 실패 시에도 기본적인 이스케이프 처리를 적용하는 것을 고려해보세요.

    private String sanitizeJsonBody(String rawBody) {
        try {
            ObjectMapper mapper = new ObjectMapper();
            JsonNode root = mapper.readTree(rawBody);
            sanitizeJsonNode(root);
            return mapper.writeValueAsString(root);
        } catch (Exception e) {
-           // 문제가 생기면 원본 반환 (fallback)
-           return rawBody;
+           // JSON 파싱 실패 시 전체 문자열을 이스케이프 처리
+           return StringEscapeUtils.escapeHtml4(rawBody);
        }
    }

🤖 Prompt for AI Agents

In
cs25-service/src/main/java/com/example/cs25service/domain/security/common/XssRequestWrapper.java
around lines 94 to 104, the current exception handling returns the raw JSON body
on parsing failure, which poses a security risk. Modify the catch block to apply
a basic escaping or sanitization method to the rawBody before returning it,
ensuring that even if JSON parsing fails, the input is sanitized to prevent XSS
vulnerabilities.

[coderabbitai]

⚠️ Potential issue

보안상 위험한 fallback 동작을 수정해주세요.

JSON 파싱이 실패했을 때 원본 rawBody를 그대로 반환하면 XSS 공격에 취약해집니다. 이는 보안 필터의 목적을 무력화시킵니다.

다음과 같이 수정하는 것을 권장합니다:

 } catch (Exception e) {
-    // 문제가 생기면 원본 반환 (fallback)
-    return rawBody;
+    // JSON 파싱 실패 시 전체 문자열을 이스케이프 (보안 우선)
+    log.warn("JSON parsing failed, escaping entire body: {}", e.getMessage());
+    return StringEscapeUtils.escapeHtml4(rawBody);
 }

🤖 Prompt for AI Agents

In
cs25-service/src/main/java/com/example/cs25service/domain/security/common/XssRequestWrapper.java
around lines 100 to 102, the current fallback returns the original rawBody when
JSON parsing fails, which poses an XSS security risk. Instead of returning
rawBody directly, modify the catch block to return a sanitized or empty safe
string to prevent bypassing the XSS filter, ensuring the fallback does not
expose the application to XSS attacks.

[coderabbitai]

💡 Verification agent

🧩 Analysis chain

재귀적 JSON 노드 처리 로직을 검증해주세요.

현재 구현이 중첩된 객체와 배열을 올바르게 처리하는지 확인이 필요합니다. 특히 깊은 중첩 구조에서의 동작을 테스트해야 합니다.

다음 스크립트로 다양한 JSON 구조에 대한 테스트 케이스를 확인해보겠습니다:

---

🏁 Script executed:

#!/bin/bash
# Description: JSON 처리 로직의 테스트 케이스 확인

# Test: 중첩된 JSON 구조 처리 테스트 파일 검색
fd -e java -x grep -l "sanitizeJsonNode\|XssRequestWrapper" {} \;

# Test: 기존 테스트 케이스 확인
rg -A 10 -B 5 "XssRequestWrapper.*test\|test.*XssRequestWrapper" --type java

Length of output: 339

---

XssRequestWrapper#sanitizeJsonNode에 대한 단위 테스트 추가 필요

현재 sanitizeJsonNode(JsonNode) 메서드를 검증할 기존 테스트가 발견되지 않았습니다. 깊이 중첩된 객체·배열 처리 로직이 의도한 대로 동작하는지 다음 항목을 기준으로 검증용 테스트를 작성해주세요.

• 대상 파일 및 위치
  • cs25-service/src/main/java/com/example/cs25service/domain/security/common/XssRequestWrapper.java (라인 106–123)
• 테스트 시나리오 예시
  • 다단계 중첩 객체
  • 배열 내 객체 및 배열 중첩
  • 혼합 타입(텍스트, 숫자, 불리언, null)
  • 빈 객체·배열
  • HTML 특수문자가 포함된 문자열
• 기대 결과
  • 모든 텍스트 노드가 StringEscapeUtils.escapeHtml4 처리되고
  • 그 외 구조는 원본대로 유지

위 테스트를 추가한 뒤 CI 통과 여부를 확인해 주세요.

🤖 Prompt for AI Agents

In
cs25-service/src/main/java/com/example/cs25service/domain/security/common/XssRequestWrapper.java
around lines 106 to 123, there is no existing unit test for the
sanitizeJsonNode(JsonNode) method. Create comprehensive unit tests covering
deeply nested objects and arrays, mixed data types including text, numbers,
booleans, and nulls, empty objects and arrays, and strings containing HTML
special characters. Verify that all text nodes are properly escaped using
StringEscapeUtils.escapeHtml4 while the overall JSON structure remains
unchanged. Add these tests to the appropriate test class and ensure they pass in
CI.

---

💡 Verification agent

❓ Verification inconclusive

깊은 중첩 JSON에 대한 스택 오버플로우 방지를 고려하세요.

현재 재귀 구현은 매우 깊게 중첩된 JSON 구조에서 스택 오버플로우를 발생시킬 수 있습니다. 실제 운영 환경에서 이런 상황이 예상된다면 반복적(iterative) 구현을 고려해보세요.

다음 스크립트로 프로젝트에서 JSON 깊이 제한이나 검증 로직이 있는지 확인해보겠습니다:

---

🏁 Script executed:

#!/bin/bash
# JSON 처리 관련 설정이나 검증 로직 확인
rg -i "json.*depth|depth.*json|nested.*json|recursion.*limit" --type java

Length of output: 75

---

깊은 중첩 JSON 구조의 재귀 알고리즘 스택 오버플로우 위험

현재 sanitizeJsonNode 메서드는 재귀 호출로만 구현되어 있어, 매우 깊게 중첩된 JSON을 처리할 때 스택 오버플로우가 발생할 수 있습니다. 프로젝트 전반에 별도의 깊이 제한이나 검증 로직이 발견되지 않았으므로, 실제 운영 환경에서 깊은 중첩 JSON이 유입될 가능성이 있다면 다음을 고려해 주세요:

• XssRequestWrapper.java
  • sanitizeJsonNode(JsonNode node) 메서드
• 처리 깊이를 제한하거나
• 재귀 대신 반복(iterative) 방식으로 순회 로직을 재구현하여 스택 사용량을 제어

이렇게 하면 예기치 않은 입력에 대한 안정성을 높일 수 있습니다.

🤖 Prompt for AI Agents

In
cs25-service/src/main/java/com/example/cs25service/domain/security/common/XssRequestWrapper.java
around lines 106 to 123, the sanitizeJsonNode method uses recursion to traverse
JSON nodes, which risks stack overflow with deeply nested JSON. Refactor this
method to use an iterative approach with an explicit stack or queue to traverse
the JSON tree, or implement a maximum depth limit to prevent excessive recursion
depth. This change will control stack usage and improve stability against deeply
nested inputs.

[coderabbitai]

🛠️ Refactor suggestion

로그 메시지의 위치와 내용을 개선해주세요.

현재 로그가 필터 체인 실행 이후에 기록되어 있어서 "XSS Filter applied"라는 메시지가 부정확합니다. 또한 디버깅 목적이라면 필터 적용 전에 로깅하는 것이 더 유용합니다.

다음과 같이 수정하는 것을 권장합니다:

    XssRequestWrapper wrappedRequest = new XssRequestWrapper(request);
+   log.debug("XSS Filter applying for content type: {}", request.getContentType());
    filterChain.doFilter(wrappedRequest, response);
-   
-   log.debug("XSS Filter applied for content type: {}", request.getContentType());

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	log.debug("XSS Filter applied for content type: {}", request.getContentType());
	XssRequestWrapper wrappedRequest = new XssRequestWrapper(request);
	log.debug("XSS Filter applying for content type: {}", request.getContentType());
	filterChain.doFilter(wrappedRequest, response);

🤖 Prompt for AI Agents

In
cs25-service/src/main/java/com/example/cs25service/domain/security/filter/XssFilter.java
at line 28, the debug log message indicating "XSS Filter applied" is currently
placed after the filter chain execution, which is misleading. Move the log.debug
statement to before the filterChain.doFilter call to accurately reflect when the
filter is applied, ensuring the log captures the event prior to processing the
request further.