2022-06-02 CORS에 대해

정종훈·2022년 6월 3일

T.I.L

목록 보기

18/20

CORS는 교차 출처 리소스 공유라고 해석합니다.

웹 애플리케이션이 리소스가 자신의 출처와 다를때,

추가 HTTP 헤더를 사용해, 다른 출처의 선택한 자원에 접근할수 있는 권한을 부여하도록 브라우저에 알려주는 체제입니다.

CORS의 기본 동작 과정은
1. 클라이언트에서 요청 HTTP 헤더속 Origin 필드의(localhost:3000) 값에 요청을 보내는 Origin을 담아보내면

응답헤더 Access-Control-allow-origin에 Origin에 오리진정보(localhost:3000) 등을담아 클라이언트로 전달합니다.

여기서 중요한 점은 서버는 CORS정책 위반 여부에 관여하지 않으며

출처를 비교하는 로직은 클라이언트에 구현되어있다는점 입니다.

오늘은 CORS에 대해 간략히 적어보자.

우선 CORS를 인터넷에 쳐보면 교차 출처 리소스 공유라고 한단다.

그렇다면 교차 출처 (나는 다른 출처라고 하겠다) 가 뭔지에 대해 설명을 해야한다.

동일 출처란 URL에서 스킴(프로토콜) , 호스트(도메인), 포트 가 동일함을 의미한다.

다시말해 위 3가지 중 적어도 하나가 다를때 교차 출처 HTTP 요청을 실행하게 된다.

자 그럼 CORS의 뜻 교차 출처에 대한 개념은 어느 정도 인지를 하시고…

CORS가 작동하는 시나리오는 크게 세가지로

1 . 안전한 요청

안전한 요청이 될 조건은 다음과 같다.

안전한 요청에 대해서는 다음 절차를 따른다.

→ 오리진 정보가 담긴 Origin 헤더와 함께 브라우저가 요청을 보낸다.
← 서버는 아래와 같은 응답을 HTTP 응답 헤더에 담아 보낸다.
- Origin 값과 동일하거나 *인 Access-Control-Allow-Origin
→ 서버의 응답헤더를 받은 클라이언트에서 이 둘을 비교해 허용여부를 결정한다.

다음 안전하지 않은 요청 에 대한 절차이다.

→ 브라우저는 동일한 URL에 OPTIONS 메서드를 사용한 preflight 요청을 보내게 되는데,
이때 헤더엔 다음과 같은 정보가 들어간다.
- Access-Control-Request-Method – 본 요청의 메서드 정보가 담김
- Access-Control-Request-Headers – 본 요청의 헤더 정보가 담김
← 서버는 상태 코드 200과 아래와 같은 헤더를 담은 응답을 전송합니다.
- Access-Control-Allow-Methods – 허용되는 메서드 목록이 담김
- Access-Control-Allow-Headers – 허용되는 헤더 목록이 담김
- Access-Control-Max-Age – 몇 초간 preflight 요청 없이 크로스 오리진 요청을 바로 보낼지에 대한 정보가 담김
이후엔 본 요청이 전송되고, 절차는 ‘안전한’ 요청과 동일함.