CORS

동일 출처 정책(SOP : Same-Origin Policy)

어떤 출처에서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와 상호작용 하는 것을 제한하는 중요한 보안 방식

-출처가 같다는 것은 두 URL의 프로토콜, 호스트, 포트 세개가 모두 같다는 것이다..

 

크로스 도메인 이슈

- SOP 때문에 자바스크립트 ajax로 다른 웹페이지에 접근할 때 같은 출처의 페이지에만 접근 가능

- SOP를 우회해서 서로 다른 도메인 간에 통신을 할 수 있게 해줄 무언가 필요

- JSONP, Reverse Proxy, Flash Socket 등이 그 해결책

 

- 크로스 도메인 이슈를 해결하는 표준의 필요성 대두.

- W3C에서 권장사항으로 CORS 사양 발표

- 현재 활발하게 유지 관리되는 사양은 WHATWG의 'Fetch Living Standard'

 

CORS란?

- Cross-Origin Resource Sharing

- 웹 브라우저에서 외부 도메인 서버와 통신하기 위한 방식을 표준화한 스펙

- 서버와 클라이언트가 정해진 헤더를 통해 서로 요청이나 응답에 반응할지 결정하는 방식

 

CORS의 동작 방식

1. 간단한 요청 : 기존 데이터에 사이드 이펙트를 일으키지 않는 요청. CORS 사전 요청을 발생시키지 않는 요청

2. 사전 요청(Preflight Requests) : 본 요청을 보내기 전에 사전 요청을 보내 서버가 이에 응답이 가능한지 확인하는 방법

커스텀헤더가 포함된 경우 GET,HEAD,POST이외의 요청

3. 인증을 이용하는 요청