CORS

 

 

크로스 오리진 리소스 공유(CORS)는 애플리케이션을 통합하기 위한 메커니즘으로 한 도메인에서 로드되어 다른 도메인에 있는 리소스와 상호 작용하는 클라이언트 웹 애플리케이션에 대한 방법을 정의합니다.

 

ex) 요청 방식에 따라(img, script 태그 등) -> Cross-Origin 정책, XMLHttpRequest, Fetch API 스크립트 -> Same-Origin 정책

 

 

출처(Origin)

 

Origin : Protocol + Host + Port

 

SOP 동일 출처 정책(Same-Origin Policy)

 

• 동일 출처 서버에 있는 리소스는 자유롭게 가져올 수 있지만, 다른 출처 서버에 있는 이미지나 영상 같은 리소스는 상호작용일 불가하다.
• 출처가 다른 어플리케이션끼리 자유롭게 소통한다는 것은 꽤 위험한 환경이다, 해커가 CSRF(Cross-Site Request Forgery)나 XSS(Cross-Site Scripting) 등의 방법을 이용해서 우리가 만든 어플리케이션에서 해커가 심어놓은 코드가 실행하여 개인 정보를 가로챌 수 있다.
• 이러한 경우를 방지하기 위해 SOP 정책으로 동일하지 않는 다른 출처의 스크립트가 실행되지 않도록 브라우저에서 사전에 방지하는 것.

 

교차 출처 리소스 공유 (Cross-Origin Resource Sharing)

• 단어 그대로 다른 출처의 리소스 공유에 대한 허용/비허용 정책이다.
• 항상 만나던 에러는 사실상 해결책이었다.