CORS

CORS

Cross-Origin Resource Sharing 

추가적인 HTTP header 사용해서 애플리케이션이 다른 origin의 리소스에 접근할 수 있도록 하는 매커니즘 

그러나 다른 origin 에서 내 리소스에 함부로 접근하지 못하게 하기 위해 사용 

 

요청 헤더 목록

Origin 

Access-Control-Request-Method 

Access-Control-Request-Headers

 

응답 헤더 목록 

Access-Control-Allow-Origin

Access-Control-Expose-Headers

Access-Control-Max-Age

 

 

내가 허용한 origin 들만 세션을 요청할 수 있도록 하기 위해 필요 

만약 내가 서비스하고 있지 않은 사이트에서 세션 요청하여 세션 획득이 가능하다면, 해당 사이트는 익의적으로 내 세션을 탈취하는 등의 행동을 할 수 있음. ex) 피싱사이트 

이를 방지하기 위해 브라우저에서 이러한 요청을 막음

 

CORS 동작 방법 

브라우저가 리소스 요청 시, 추가적인 헤더에 정보 담는다 (내 origin이 무엇인지, 어떤 메소드를 사용하여 요청할 것인지, 어떤 헤더들을 포함할 것인지)

서버에 전송 

서버는 서버가 응답할 수 있는 origin 들을 헤더에 담아서 브라우저에 보냄 

브라우저가 이 헤더를 보고, 해당 origin 에서 요청할 수 있다면 리소스 전송 허용. 불가하면 에러 발생. 

 

client to server 만 허용, server to server 는 X

참고자료 

developer.mozilla.org/en-US/docs/Web/HTTP/CORS#preflighted_requests

developer.mozilla.org/en-US/docs/Web/HTTP/CORS

 

 

코드에 반영하는 것은 직접 해봐야 알겠다.