CORS 와 SOP

Web 생태계에는 다른 출처로의 리소스 요청을 제한하는 것과 관련된 두 가지 정책이 존재한다.
한 가지는 SOP, 또 한 가지는 CORS 이다. 오늘은 두가지 정책에 대해서 알아보도록 하자

SOP? CORS?

---

SOP 란, Same-Origin Policy 로 동일 출처 정책 을 말한다.
이는 "같은 출처에서만 리소스를 공유할 수 있다는" 는 정책이다.
하지만, web 을 사용하다보면 다른 출처에 있는 리소스를 가져와서 사용해야하는 일이 빈번하다.
따라서 SOP 에 따라 무작정 다른 출처를 막을 수도 없는 노릇이다.
이에 따라 몇 가지 예외 조항을 두고 이 조항에 해당하는 리소스 요청은 출처가 다르더라도 허용하기로 했는데,
이것이 바로 CORS 정책을 지킨 리소스 요청이다.
CORS 란 Cross-Origin Resource Sharing, 직역해보자면 교차 출처 리소스 공유 가 되겠다.
우리가 다른 출처로 리소스를 요청한다면 SOP 정책을 위반한 것이 되고, 거기다가 SOP의 예외 조항인 CORS 정책까지 지키지 않는다면
아예 다른 출처의 리소스를 사용할 수 없게 되는 것이다.

---

본래 웹에서는 출처가 불분명한 곳에서 리소스 교환이 일어나는 것을 막기 위해

하나의 리소스에서만 리소스 교환이 일어나는 것이 원칙이다. (SOP-Single Origin Policy)

하지만 우리가 웹 개발을 하다보면 다양한 리소스에서 데이터를 가져올 일이 빈번하게 생긴다.

이때 데이터를 안전하게 가져올 수 있도록 하는 규약이 바로 CORS 이다.