SOP(Same-Origin Policy)는 동일 출처 정책을 뜻한다. 같은 출처의 리소스만 공유가 가능하다.
이 때 출처(Origin)는 프로토콜, 호스트, 포트의 조합이다. 이 3가지 중 하나라도 다르면 동일한 출처로 보지 않는다.
이 질문에 대답은 잠재적으로 해로울 수 있는 문서를 분리하여 해킹 등의 위협에서 더 안전해질 수 있다.
만약 한 페이지에서 로그인을 하고 로그아웃을 안하거나 자동 로그인 기능으로 로그인 정보가 남아있다면? SOP가 다른 사이트와의 리소스 공유를 제한해 정보가 새어나가는 것을 방지할 수 있다. 이러한 SOP의 보안상 이점 때문에 모든 브라우저에서 기본적으로 사용하는 정책이다.
하지만 SOP는 같은 출처의 리소스만 공유한다 했는데, 로컬 환경에서 개발할 경우 다른 출처의 리소스를 사용할 경우가 많은데 이런 경우는 할까?
CORS(Cross-Origin Resource Sharing)는 교차 출처 리소스 공유라고도 한다. 추가 HTTP 헤더를 사용해 다른 출처의 선택한 자원에 접근 권한을 부여하도록 브라우저에 알려주는 체제다.
즉, 브라우저는 SOP에 의해 기본적으로 다른 출처의 리소스 공유를 막지만, CORS를 사용해 접근 권한을 얻을 수 있게 되는 것이다.
위 사진은 CORS 에러다. 이 에러는 다른 출처의 리소스를 가져오려 했지만 SOP 때문에 접근이 불가능하다. 이 때 CORS 설정을 통해 서버의 응답 헤더에 Access-Control-Allow-Origin
을 작성해 접근 권한을 얻을 수 있다.
다시 말해 이 에러는 CORS가 에러가 아닌 CORS가 필요하다고 에러가 표시되는 것이다.
이 CORS가 있기 때문에 다른 출처의 데이터를 주고 받을 수 있다.
CORS 동작 방식은 프리플라이트 요청, 단순 요청, 인증정보를 포함한 요청, 이 3가지로 나뉜다.
Preflight Request은 실제 요청을 보내기 전 OPTIONS
메서드로 사전 요청을 보내 해당 출처 리소스에 접근 권한이 있는지 확인하는 것이다.
CORS가 생기기 이전 서버들은 브라우저의 SOP Request만 가능하다는 가정하에 만들어졌는데 CORS 로 인해 cross-site request가 가능해졌다. 하지만 이러한 서버는 보안적으로 문제가 생길 수 있는데, 이를 해결하기 위해 CORS spec에 Preflight Request를 포함시켜 핸들링이 가능한지 확인하고 CORS를 인식하지 못하는 서버일 경우 제대로된 응답을 보내지 못하고 그 경우 실제 클라이언트로 부터의 요청도 전송되지 않게 되며 Preflight가 Cross-Origin 요청에 대비되지 않은 서버를 보호해 준다.
단순 요청은 특정 조건이 만족되면 프리플라이트 요청을 생략하고 요청을 보내는 것이다. 서버에 바로 요청을 보내면서 그 즉시 Cross-Origin인지 확인하는 과정이다.
단순 요청의 조건은 아래와 같다.
요청 헤더에 인증 정보를 담아 보내는 요청이다. 출처가 다를 경우 별도의 설정을 하지 않으면 쿠키를 보낼 수 없는데 민감한 정보이기 때문이다. 이 경우 프론트, 서버 양측 모두 CORS 설정이 필요하다.
Node.js로 간단한 HTTP 서버를 만들 경우, 다음과 같이 응답 헤더를 설정해줄 수 있다.
const http = require('http');
const server = http.createServer((request, response) => {
// 모든 도메인
response.setHeader("Access-Control-Allow-Origin", "*");
// 특정 도메인
response.setHeader("Access-Control-Allow-Origin", "https://codestates.com");
// 인증 정보를 포함한 요청을 받을 경우
response.setHeader("Access-Control-Allow-Credentials", "true");
})
Express 프레임워크를 사용해서 서버를 만들 경우, CORS 미들웨어를 사용해 간단하게 설정 해줄 수 있다.
const cors = require("cors");
const app = express();
//모든 도메인
app.use(cors());
//특정 도메인
const options = {
origin: "https://codestates.com", // 접근 권한을 부여하는 도메인
credentials: true, // 응답 헤더에 Access-Control-Allow-Credentials 추가
optionsSuccessStatus: 200, // 응답 상태 200으로 설정
};
app.use(cors(options));
//특정 요청
app.get("/example/:id", cors(), function (req, res, next) {
res.json({ msg: "example" });
});