xss, csrf, cors

XSS
-클라이언트가 서버를 신뢰하기 때문에 발생하는 이슈.

• 서버가 Script 태그 사이에 코드를 넣고 (script injection) 브라우저로 보내면 브라우저는 그 코드를 실행하게 된다.
• 기본적인 XSS 공격은 브라우저에서 막아 준다.

CSRF: cross site request forgery

• 서버가 클라이언트를 신뢰하기 때문에 발생하는 이슈.
• 서버는 인증정보를 가지고 오면 믿는다. 사용자는 인증 정보를 가진 체로 해커의 링크를 누르면, 해커는 인증정보를 가로채서 서버에 요청을 보내 버린다.

CORS
Cross Origin Recourse Sharing
외부 도메인 서버와 통신하기 위한 방식을 표준화한 스펙

CORS는 다른 Origin에 대한 요청을 허용하는 정책.

같은 Origin에서 http 통신을 하는 경우 알아서 cookie가 request header에 들어가지만, 교차 출처로 요청하는 상황에서는 그렇지 않다.

Origin이 다른 http 통신에서는 request header에 쿠키가 자동으로 들어가기 않기 때문에 서버에게 또는 클라이언트에게 내가 어떤 요청을 보내는 지 알려줄 필요가 있습니다.

프론트 > withCredentials: true
서버 > Access-Control-Allow-Credentials: true