[ Server ] CORS

배경지식

 

* HTTP: HyperText Transfer Protocol의 약자로, 인터넷에서 정보를 송수신하는 프로토콜 (규약)입니다. HTML문서 송수신에 주로 사용됩니다.

 

* REST API: Repersentational State Trasfer API의 약자로, REST라는 규칙에 맞춰 개발 및 제공되는 API를 말합니다.

 

* API: Application Programming Interface의 약자로, 특정 서비스나 응용 프로그램에서 자신들의 서비스 내부의 기능들을 제어할 수 있도록 만들어놓은 인터페이스를 말합니다.

 

---

 

교차 출처 리소스 공유 (Cross Origin Resource Sharing)

 

한마디로 "다른 사이트에 있는 데이터를 함부로 사용할 수 없는 정책"입니다.

웹상에 존재하는 데이터에 대한 출처를 보장하고, 그 출처에 따른 데이터의 무단 도용을 방지함으로서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와 상호작용하는 것을 제한하는 중요한 보안 방식입니다. 결과적으로 이 정책을 통해 웹상에서 발생할 수 있는 잠재적 악성 문서를 격리하고, 궁극적으로 공격자의 공격경로를 줄이는 것에 도움이 됩니다.

 

교차 출처 리소스 공유 (이하 CORS 정책)은 2가지 경우에 적용됩니다

 

1) 요청지와 응답지의 "도메인"이 다를 경우

2) 요청지와 응답지의 "포트"가 다를 경우

 

적용주체

CORS 정책은 브라우저에서 제한합니다. 즉, 만약 CORS 정책을 위반하는 어떤 요청이 스크립트나 HTML 문서에 의해 요청된다면, 요청은 정상적으로 가지만, 응답이 돌아온 후 접속자의 브라우저에서 접근이 금지됩니다. 이 정책으로 인해 제한되는 모든 응답은 버려집니다.

 

해결방법

1) 접속하는 브라우저에서 설정 해제 (권장되지 않음)

앞서 말한바와 같이, CORS 정책의 제한주체는 접속하는 브라우저입니다. 즉, 브라우저에서 해당 설정을 해제하면 CORS 정책과 무관하게 모든 요청에 대한 응답을 받을 수 있습니다. 하지만 이런 방법은 보안성을 저하시킬 수 있고, 또한 현실적으로 접속하는 모든 사용자의 브라우저의 설정을 해제하라고 하는 것도 어렵습니다.

 

2) 서버의 응답에 헤더 추가

그렇다면 브라우저에서 해당 요청을 "사전에 허가받은 요청"으로 인식하도록 한다면 해결할 수 있을 것입니다. 이렇게 인식할 수 있도록 정보를 제공하기위해 서버의 응답에 "Access-Control-Allow-Origin"이라는 이름의 헤더를 추가하도록 요청하세요.

 

Access-Control-Allow-Origin이란 Cross-Origin 요청, 즉 다른 사이트로부터 받아오는 정보들이 현재 도착지에는 허가되어있다는 것을 알려주는 헤더입니다. 응답헤더에 해당값이 있어야 하기 때문에 반드시 서버개발자에게 데이터를 사용하고자 하는 사이트의 주소를 추가해줄 것을 요청해야 합니다.