[fix/MAT-304-307-311] native 보안·딥링크·잡버그 묶음

[sterdsterd]

Summary

학생 앱의 보안 가드(FCM 로그/WebView navigation policy/CDN SRI), 딥링크 콜드스타트 안정성, 로그인·렌더·시리얼라이저 잡버그를 묶어 정리한다. 9개 sub-issue 가 한 PR.

• 보안: FCM 토큰/페이로드 로그 __DEV__ 가드, WebView originWhitelist 는 외부 앱 fallback 방지를 위한 통과 layer 로 두고 onShouldStartLoadWithRequest 에서 deny-by-default navigation policy 강제, KaTeX/kopubbatang CDN 3개에 SHA-384 SRI + crossorigin.
• 딥링크: 콜드스타트 시 navigationRef busy-wait polling (max 3s) 을 module-level subscriber Set + NavigationContainer.onReady/onStateChange fan-out 기반 이벤트 대기 (max 30s) 로 전환. auth hydration 후 StudentApp route 등록까지 기다려 저사양 기기에서도 알림 손실 방지.
• OAuth 정리: useNativeOAuth 도입 (PR-4 머지) 이후 사용되지 않는 useSocialLoginCallback 훅 + 라우터 호출 + 배럴 export 전부 삭제. 앱 내 화면 이동용 url scheme 핸들러는 보존.
• 잡버그: LoginScreen 핸들러 unhandled rejection 차단(void), serializeJSONToHTML JSON.parse 페일세이프, PointingScreen render body 사이드이펙트(console.warn) 제거, useFcmToken 미사용 listener ref 정리.

Linear

• MAT-304 — 보안 가드 강화 (qna 제외 3건)
  • MAT-454 — FCM 토큰/페이로드 console.log __DEV__ 가드
  • MAT-455 — ContentWebView navigation policy deny-by-default + 외부 navigation 차단
  • MAT-456 — KaTeX/kopubbatang CDN SRI hash 추가
• MAT-307 — OAuth/딥링크 콜드스타트 정리
  • MAT-457 — useSocialLoginCallback OAuth URL scheme 핸들러 제거
  • MAT-458 — useDeepLinkHandler 이벤트 기반 대기로 전환
• MAT-311 — 잡버그 묶음
  • MAT-459 — useFcmToken 미사용 listener ref 제거
  • MAT-460 — LoginScreen 소셜 로그인 핸들러 unhandled rejection 차단
  • MAT-461 — serializeJSONToHTML JSON.parse 페일세이프
  • MAT-462 — PointingScreen render body 사이드이펙트 제거

MAT-463 (CalendarModal 닫기 버튼 위치 보정) 은 디자이너 디자인 전달 후 별도 PR로 처리. 본 PR 에서 제외.

Changes

• MAT-454 apps/native/src/hooks/useFcmToken.ts — APNs 토큰, FCM 토큰, 등록 완료 로그, 포그라운드 메시지 페이로드 4건을 __DEV__ 가드. 진단성 warn/error 는 보존.
• MAT-455 packages/pointer-content-renderer/src/native/ContentWebView.tsx — RN WebView 의 originWhitelist 미매칭이 차단이 아니라 Linking.openURL fallback 으로 이어지는 동작 때문에 originWhitelist=['*'] 를 통과 layer 로 유지. 실제 navigation 정책은 onShouldStartLoadWithRequest 에서 deny-by-default 로 강제한다. 허용 대상은 production file:///about:blank, dev Metro 자산 http(s)://*:8081/assets/... 뿐이며, data: 및 외부 http(s) navigation 은 차단.
• MAT-456 packages/pointer-content-renderer/src/web/index.html — katex.min.css / katex.min.js / kopubbatang.min.css 3개에 integrity="sha384-..." + crossorigin="anonymous". defer + __katexLoaded/__katexFailed 시그널 보존.
• MAT-457 useSocialLoginCallback.ts 파일 삭제 + hooks/index.ts 배럴 export + RootNavigator.tsx 호출 제거. PR-4 의 useNativeOAuth 가 인앱 OAuth 를 처리하므로 url scheme callback 흐름은 더 이상 도달 불가.
• MAT-458 services/navigation/navigationRef.ts — readySubscribers/stateSubscribers fan-out, handleNavigationReady, handleNavigationStateChange, waitForNavigationReady(timeoutMs = 30_000), waitForRouteRegistered('StudentApp', timeoutMs = 30_000) 추가. useDeepLinkHandler.ts 의 while 폴링(3s) 을 이벤트 기반 대기로 교체하고, 콜드스타트 auth hydration 후 StudentApp root route 등록까지 기다린 뒤 딥링크를 dispatch.
• MAT-459 useFcmToken.ts — 선언만 되고 미사용이던 notificationListener / responseListener ref 두 개 제거.
• MAT-460 LoginScreen.tsx — handleSocialButtonPress async → sync. void signInWithProvider(provider) 로 unhandled rejection 차단. 에러는 이미 hook 의 error state 로 화면에 노출 중.
• MAT-461 serializeJSONToHTML.ts — string input 일 때 JSON.parse 만 좁게 try/catch 로 감싸 serializeJSONToHTML: invalid JSON input — <원인> 형태로 throw. MAT-451 (pointer-content-renderer) 와 동일 패턴.
• MAT-462 PointingScreen.tsx — render body 의 if (pointings.length === 0) console.warn(...) 사이드이펙트 제거.

추가로 lint pass + post-review 후속 픽스:

• chore: useDeepLinkHandler.ts 의 사전 존재하던 미사용 useCallback import 제거.
• fix: handleNavigationReady 의 clear() 제거 (Fast Refresh / NavigationContainer 재mount 시 두 번째 onReady 사이 등록된 subscriber 손실 방지).
• fix: dev Metro HTML 자산이 http://<LAN-IP>:8081/assets/... 로 resolve될 때 Safari 로 fallback 되는 문제를 originWhitelist 통과 layer + shouldAllowRequest dev Metro asset allow 로 해결.
• fix: waitForNavigationReady / waitForRouteRegistered 의 timer cleanup 을 optional guard 로 정리해 초기화 전 접근 가능성을 제거.

Testing

• pnpm lint --filter native — exit 0
• pnpm tsc --noEmit (apps/native, packages/pointer-content-renderer) — exit 0
• QA: 앱 종료 상태에서 알림 탭 → 콜드스타트 (저사양 기기, >3s) → auth hydration 후 딥링크 정상 처리
• QA: 백그라운드/포그라운드 알림 탭 → 즉시 처리
• QA: WebView 가 외부 도메인 (예: https://evil.example) 또는 data: navigation 을 시도할 때 WebView 내부 이동/Safari fallback 없이 차단 + dev 콘솔에 [ContentWebView] blocked navigation 로그
• QA: dev client/Metro 환경에서 PointerContentView 가 Safari 로 튕기지 않고 앱 안에서 content.html 렌더링
• QA: KaTeX 렌더링 정상 (SRI hash mismatch 시 fallback 동작)
• QA: 카카오/구글/Apple 로그인 정상 동작 + 실패 시 화면에 에러 표시
• QA: 문제 풀이 화면에서 malformed JSON 주입 시 명시적 에러 throw

Risk / Impact

• 영향 범위: 학생 앱 부팅 알림 처리 / WebView 콘텐츠 렌더 / 소셜 로그인 흐름 / 문제 풀이 시리얼라이저
• 호환성: useSocialLoginCallback 삭제는 인앱 url scheme OAuth callback 경로를 끊지만, PR-4 머지 이후 도달 불가 경로. 앱 내 화면 이동용 url scheme (pointer://qna/<id>, pointer://publish/<id>) 은 useDeepLinkHandler 에서 그대로 처리.
• WebView policy: originWhitelist=['*'] 는 보안 허용 목록이 아니라 RN WebView 의 외부 앱 fallback 을 막기 위한 통과 layer. 실제 보안 경계는 shouldAllowRequest 의 deny-by-default navigation policy.
• Known residual risk: deprecated ProblemViewer 는 scrap 경로에서 아직 사용 중이며 이번 PR 에서는 추가 수정하지 않는다. 남은 사용처는 별도 branch 에서 PointerContentView 로 migration 예정.
• 머지 순서: PR-4 ([refactor/MAT-305-309] 인증 레이어 안정화 및 정리 #309), PR-5 ([fix/MAT-308] pointer-content-renderer 상태/리스너 누수 정리 #310) 머지 완료 후. develop 최신 기준.

[linear]

MAT-304 [HIGH] native: 보안 취약점 - SSE 토큰 URL 노출, FCM 토큰 로그, ContentWebView origin 설정

[vercel]

The latest updates on your projects. Learn more about Vercel for GitHub.

Project	Deployment	Actions	Updated (UTC)
pointer-admin	Ready	Preview, Comment	May 4, 2026 3:43pm

[Copilot]

Pull request overview

학생 앱(네이티브)에서 보안 가드(WebView navigation 차단/FCM 로그 가드/CDN SRI)와 딥링크 콜드스타트 안정화, OAuth dead code 제거, 몇 가지 런타임 잡버그를 한 PR로 묶어 정리합니다.

Changes:

• Content WebView 보안 강화: originWhitelist 축소 + onShouldStartLoadWithRequest로 외부 navigation 차단, KaTeX/폰트 CDN에 SRI 추가, FCM 민감 로그 __DEV__ 가드
• 딥링크 콜드스타트 안정화: navigation ready 대기 로직을 polling → NavigationContainer.onReady 기반 fan-out 대기로 전환
• dead code/잡버그 정리: useSocialLoginCallback 제거, LoginScreen unhandled rejection 방지, serializer JSON.parse 페일세이프, render body side-effect 제거

Reviewed changes

Copilot reviewed 13 out of 13 changed files in this pull request and generated 2 comments.

Show a summary per file

File	Description
packages/pointer-content-renderer/src/web/index.html	KaTeX/폰트 CDN 리소스에 SRI + crossorigin 추가
packages/pointer-content-renderer/src/native/ContentWebView.tsx	originWhitelist 축소 및 navigation 차단 로직 추가
apps/native/src/services/navigation/navigationRef.ts	navigation ready fan-out(waitForNavigationReady/handleNavigationReady) 추가
apps/native/src/services/navigation/index.ts	새 navigation 유틸 re-export
apps/native/src/navigation/RootNavigator.tsx	useSocialLoginCallback 호출 제거
apps/native/src/hooks/useSocialLoginCallback.ts	(삭제) OAuth scheme callback 훅 제거
apps/native/src/hooks/useFcmToken.ts	FCM/APNs 토큰 및 페이로드 로그를 __DEV__로 가드
apps/native/src/hooks/useDeepLinkHandler.ts	navigation ready 대기를 waitForNavigationReady 기반으로 변경
apps/native/src/hooks/index.ts	배럴 export에서 useSocialLoginCallback 제거
apps/native/src/features/student/problem/utils/serializeJSONToHTML.ts	string input JSON.parse 오류를 명시적 에러로 래핑
apps/native/src/features/student/problem/screens/PointingScreen.tsx	render body의 console.warn side-effect 제거
apps/native/src/features/auth/login/screens/LoginScreen.tsx	소셜 로그인 호출을 void 처리해 unhandled rejection 방지
apps/native/App.tsx	NavigationContainer에 onReady={handleNavigationReady} 연결

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.

[Copilot]

Pull request overview

Copilot reviewed 13 out of 13 changed files in this pull request and generated 3 comments.

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.

[Copilot]

Pull request overview

Copilot reviewed 13 out of 13 changed files in this pull request and generated 4 comments.

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.

[Copilot]

Pull request overview

Copilot reviewed 13 out of 13 changed files in this pull request and generated 1 comment.

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.