XSS
-클라이언트가 서버를 신뢰하기 때문에 발생하는 이슈.
CSRF: cross site request forgery
CORS
Cross Origin Recourse Sharing
외부 도메인 서버와 통신하기 위한 방식을 표준화한 스펙
CORS는 다른 Origin에 대한 요청을 허용하는 정책.
같은 Origin에서 http 통신을 하는 경우 알아서 cookie가 request header에 들어가지만, 교차 출처로 요청하는 상황에서는 그렇지 않다.
Origin이 다른 http 통신에서는 request header에 쿠키가 자동으로 들어가기 않기 때문에 서버에게 또는 클라이언트에게 내가 어떤 요청을 보내는 지 알려줄 필요가 있습니다.
프론트 > withCredentials: true
서버 > Access-Control-Allow-Credentials: true