스프링 시큐리티를 사용하면서 뜬금없이 이런 의문이 떠올랐다. 브라우저에서는 내가 IP마다 CORS 정책을 허용해주지 않으면, 요청이 불가능한데 반해 포스트맨에서는 잘 통하는 걸 확인할 수 있었다.
서버에서 서버로 보내는 것은 cors 모듈이 담당하지 않는단다. cors는 프론트서버도 아니고 "브라우저"가 서버로 요청을 보내는 것을 브라우저가 검사하는 것이다. 서버에서 서버로 요청을 보내는 것을 검사하려면 req.ip나 req.get('origin') 등을 검사해야 한다. 물론 이러한 것은 위조가 가능해서 토큰같은 것을 발급한 뒤 서버에서 검사를 하는 식으로 나가야 한다.
https://www.inflearn.com/questions/59645
https://velog.io/@offdutybyblo/%EC%A0%84%EC%A7%80%EC%A0%81-%EB%B9%84%EC%A0%84%EA%B3%B5%EC%9E%90-%EC%8B%9C%EC%A0%90%EC%9D%98-CS-CORS-SOP%EB%A5%BC-%EB%B6%80%EC%85%94%EB%B3%B4%EC%9E%90