SOP
SOP는 Same-Origin Policy의 줄임말로 동일 출처 정책, 그리고 '같은 출처의 리소스만 공유가 가능하다'라는 정책이다.
출처는 프로토콜, 호스트, 포트의 조합으로 되어 있다. 이 중 하나라도 다르면 동일한 출처로 보지 않는다.
https:// ...VShttp://...
- 두 URI는 프로토콜이 다르기 때문에 동일 출처가 아니다.
https://www.naver.comVShttps://section.cafe.naver.com
- 두 URI는 호스트가 다르기 때문에 동일 출처가 아니다.
http://www.naver.com:81VShttp://www.naver.com
- 두 URI는 포트가 다르기 때문에 동일 출처가 아니다.
동일 출처 정책(SOP)은 잠재적으로 해로울 수 있는 문서를 분리함으로써 공격받을 수 있는 경로를 줄여준다.
CORS
1. CORS
CORS는 Cros-Origin Resource Sharing의 줄임말로 교차 출처 리소스 공유를 뜻한다. MDN 에서는 CORS에 대해서 다음과 같이 정의 한다.
교차 출처 리소스 공유(Cross-Origin Resource Sharing, CORS)는 추가 HTTP 헤더를 사용하여, 한 출처에서 실행 중인 웹 애플리케이션이 다른 출처의 선택한 자원에 접근할 수 있는 권한을 부여하도록 브라우저에 알려주는 체제입니다.
2. CORS 동작 방식
1. 프리플라이트 요청 (Preflight Request)
실제 요청을 보내기 전, OPTIONS 메서드로 사전 요청을 보내 해당 출처 리소스에 접근 권한이 있는지부터 확인하는 것이다.
브라우저는 서버에 실제 요청을 보내기 전에 프리플라이트 요청을 보내고 응답 헤더의 Access-Control-Allow-Origin으로 요청을 보낸 출처가 돌아오면 실제 요청을 보내게 된다. 만약 요청을 보낸 출처가 접근 권한이 없다면 브라우저에서 CORS 에러를 띄우게 되고 실제 요청은 전달되지 않는다.
프리플라이트 요청의 필요성
- 실제 요청을 보내기 전에 미리 권한을 확인할 수 있기 때문에, 실제요청을 통째로 보내는 것보다 효율적이다.
- CORS에 대비되지 않은 서버를 보호할 수 있다. CORS 이전에 만들어진 서버들은 SOP 요청만 들어오는 상황을 고려했기 때문에 다른 출처에서 들어오는 요청에 대한 대비가 되어있지 않다.
2. 단순 요청 (Simple Request)
특정 조건이 만족되면 프리플라이트 요청을 생략하고 요청을 보내는 것을 의미한다.
GET,HEAD,POST요청 중 하나여야 한다.- 자동으로 설정되는 헤더 외에
Accept,Accept-Language,Content-Language,Content-Type헤더의 값만 수동으로 설정할 수 있다.
3. 인증정보를 포함한 요청(Credentialed Request)
요청 헤더에 인증 정보를 담아 보내는 요청이다. 출처가 다를 경우 별도의 설정을 하지 않으면 쿠키를 보낼 수 없다. 이 경우에는 프론트, 서버 모두 CORS설정이 필요하다.
- 프론트 측에서는 요청 헤더에
withCresentials : ture를 넣어준다. - 서버 측에서는 응답 헤더에
Access-Contral-Allow-Credentials : ture를 넣어준다. - 서버 측에서
Access-Control-Allow-Origin을 설정할 때 모든 출처를 허용한다는 뜻의 와일드카드(*)로 설정하면 에러가 발생한다.
