CORS (Cross-Origin-Resource Sharing)
- 다른 출처의 리소스 공유에 대한 허용/비허용 정책
SOP (Same Origin Policy)
자바스크립트에서의 요청은 기본적으로 서로 다른 도메인에 대한 요청을 보안상 제한한다.
브라우저는 기본으로 하나의 서버 연결만 허용되도록 설정되어 있기 때문.
여기서 SOP 동일한 출처에 대한 정책을 말하는데,
말 그대로 동일한 출처에서만 리소스를 공유할 수 있다는 정책을 가지고 있음
CORS
출처가 다른/엇갈린(cross) 리소스를 만나게 됐을때 공유를 비허용하는 정책이다.
출처의 다름 유무를 판단하는 기준 - Origin
URL의 구성 요소 중 protocol, host, port 3가지가 동일하다면 동일 출처로 판단한다.
- Protocol(Scheme) : http, https
- Host : 사이트 도메인
- Port : 포트 번호
- Path : 사이트 내부 경로
- Query string : 요청의 key와 value값
- Fragment : 해시 태그
출처 비교와 판단은 브라우저가 한다
출처를 비교하는 로직은 서버에 구현된 스펙이 아닌 브라우저에 구현된 스펙이기 때문
CORS 정책을 지킨 리소스 요청
몇 가지 예외 조항을 두고 다른 출처의 리소스 요청이라도 어떤 조항에 해당할 경우에 허용하기로 함
그중 하나가 바로 CORS 정책을 지킨 리소스 요청이다.
