항해톡 발표 CORS

CORS가 필요한 이유!

 

 

SOP (Same Origin Policy)

• 다른 출처의 리소스를 사용한 것을 제한하는 보안 방식

출처(origin)란?

url의 protocol, host, port 를 통해 같은 출처인지 다른 출저인지 판단할 수 있다.

 

CORS 탄생 배경

 

CORS(Cross Origin Resource Sharing) 다른 출처의 자원을 공유!!

교차 출처 리소스 공유(Cross-Origin Resource Sharing, CORS)는 추가 HTTP 헤더를 사용하여, 한 출처에서 실행 중인 웹 애플리케이션이 다른 출처의 선택한 자원에 접근할 수 있는 권한을 부여하도록 브라우저에 알려주는 체제입니다.

 

CORS 접근제어 시나리오

• 예비 요청(Preflight Request) 

교차 출처 리소스 공유 (CORS) 사전 요청은 본격적인 교차 출처 HTTP 요청 전에 서버 측에서 그 요청의 메서드와 헤더에 대해 인식하고 있는지를 체크 하는 것 입니다.

• 단순 요청(Simple Request)

대부분 preflight 방식을 사용하지만, 어떤 경우에는 예비 요청없이 본 요청만으로 CORS 정책 위반 여부를 검사하기도 합니다.

1. 요청의 메소드는 GET, HEAD, POST 중 하나여야 한다.
2. Accept, Accept-Language, Content-Language, Content-Type, DPR, Downlink, Save-Data, Viewport-Width, Width를 제외한 헤더를 사용하면 안된다.
3. 만약 Content-Type를 사용하는 경우에는 application/x-www-form-urlencoded, multipart/form-data, text/plain만 허용된다.

• 인증정보 포함 요청(Credentialed Request)

마지막으로 인증된 요청을 사용하는 방법이다. 이 시나리오는 CORS의 기본적인 방식이라기 보단 다른 출처간 통신에서 좀 더 보안을 강화하고 싶을 때 사용하는 방법이다.

1. same-origin (기본값) : 같은 출처 간 요청에만 인증 정보를 담는다.
2. include : 모든 요청에 인증 정보를 담는다.
3. omit : 모든 요청에 인증 정보를 담지 않는다.