Client ID 노출 문제 #13
Description
script상의 Client ID가 노출되는 이슈에 대해 질문 드립니다.
관리자 도구를 통해 요소 탭에서 검색으로 'ncpClientId'를 찾아보면
아주 쉽게 해당 사이트에서 사용하는 Client ID를 조회할 수 있습니다.
당장 공식 문서상의 Client ID를 가져다 써도 내 대표 아이디의 횟수 차감 없이
API의 사용이 가능한데
이 부분 정상적인게 맞을까요?
** 추가
실제 서비스에서는 Web 서비스 URL에 등록된 주소에서만 사용이 가능할테지만
보통 테스트를 위해 http://localhost도 같이 등록하는 경우가 많은데
악의적으로 특정 사이트에서 사용하는 Client ID에 대해
localhost로 따로 만들어서 무한히 요청을 보내 횟수를 차감시키는 공격이 있을 수 있다고 생각합니다.
이 부분에 대해서 어떻게 조치를 취할 수 있을까요?
상용 서비스로 올리고 바로 Web 서비스 URL에서 http://localhost를 빼는 방법이 맞을지
다른 방법이 있을지 궁금합니다.