security: WebSocket 연결 시 사용자 ID 노출 취약성 수정

ImGdevel · ImGdevel · commit c82ee797871e · 2025-09-13T20:09:24.000+09:00
- WebSocketMiddleware에서 연결 확인 메시지에서 userId 제거
- 보안상 민감한 사용자 식별자 정보 클라이언트 노출 방지
- 연결 상태만 전달하도록 메시지 형식 변경: {"type":"connected","status":"success"}
- 모든 테스트 통과 (235/235)
diff --git a/ProjectVG.Api/Middleware/WebSocketMiddleware.cs b/ProjectVG.Api/Middleware/WebSocketMiddleware.cs
@@ -117,8 +117,8 @@ private async Task RunSessionLoop(WebSocket socket, string userId)
             try {
                 _logger.LogInformation("WebSocket 세션 시작: {UserId}", userId);
 
-                // Send initial connection confirmation
-                var welcomeMessage = System.Text.Encoding.UTF8.GetBytes($"{{\"type\":\"connected\",\"userId\":\"{userId}\"}}");
+                // Send initial connection confirmation without exposing user ID
+                var welcomeMessage = System.Text.Encoding.UTF8.GetBytes("{\"type\":\"connected\",\"status\":\"success\"}");
                 await socket.SendAsync(
                     new ArraySegment<byte>(welcomeMessage),
                     WebSocketMessageType.Text,
