- CORS(Cross-Origin Resource Sharing)는 웹 페이지들이 보안 정책인 SOP(Same-Origin Policy)로 인해 제약을 받는 문제를 해결하기 위해 도입된 기술이다.
- SOP는 웹 페이지 자원들이 같은 출처에서만 접근을 허용하는 원칙이다. 즉, 출처가 다르면 요청이 거부되어 정보 공유가 어려워진다.
- CORS는 문제를 해결하기 위해 출처간 자원을 공유할 수 있도록 규칙을 제공한다.
- 서버 측은 HTTP 헤더를 통해 어떤 출처들이 자원에 접근할 수 있고, 어떤 요청 메소드와 헤더를 허용할지 명시할 수 있다.
- 웹 브라우저에서 자바스크립트로 요청을 보낼 때, 브라우저는 자동으로 먼저 Preflight 요청을 전송한다. 이 요청은 OPTIONS 메소드를 사용하며, 실제 요청을 보내기 전 교차 출처 접근을 허용하는지 확인하는 용도이다.
- 서버가 적절한 CORS 헤더를 응답하면 브라우저에서 본 요청이 진행된다.
CORS를 사용하면 출처간 자원 공유를 안전하게 할 수 있으며, 여러 요청 제한을 효과적으로 관리할 수 있다. 다만, 서버 측 설정을 주의 깊게 확인해야하며, 불필요하게 광범위한 허용이 되어있는 경우 원치 않은 출처들에서의 접근이 가능해질 수 있다.
