[Security] about using regex in email validation

[vionicbest]

검증되지 않은 regex를 사용하면 ReDoS과 같은 문제점이 생길 수 있으므로, 안전한 regex를 사용해야 한다.

containers에 있는 Signup.js의 이메일 validation 과정이 현재 안전하지 않은 regex를 사용하고 있고 이를 수정해야 한다.

SECURITY_HOTSPOT에서 참고할 수 있다.

[1207koo]

snu.ac.kr 등으로 메일을 고정하고 이메일의 아이디(@ 앞부분)만 공백, @ 등의 기호가 안 들어가는 것으로 체크하면 안전한 regex일 가능성이 있음. 체크 경로가 유일한데, 이를 안전하다고 체크되는지 확인해야함

[cube-c]

SonarCloud에서 말하는 것과 달리 안전한 regex일 수도 있음. SonarCloud가 철저한 방법으로 좋지 않은 regex를 찾아내는 것이 아니기에 false-positive의 가능성이 있기 때문.

이 stackoverflow 질문과 HTML Standard 참고 바람. 아래는 사이트에서 소개하는 Javascript용 email regex

/^[a-zA-Z0-9.!#$%&'*+\/=?^_`{|}~-]+@[a-zA-Z0-9](?:[a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?(?:\.[a-zA-Z0-9](?:[a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?)*$/

[vionicbest]

그러면 일단 이 부분은 차후 조교님께 물어보는 거로 하고 일단 regex를 사용합시다.

[vionicbest]

NoSonar로 처리합시다. 처리되면 pr# 달고 닫겠습니다