SOP(Same-Origin Policy) : 동일 출처 정책
어떤 출처에서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와 상호작용하는 것을 제한하는 중요한 보안방식.
즉, 같은 출처의 리소스만 공유가 가능하고 잠재적으로 해로울 수 있는 문서를 분리해 공격받을 수 있는 경로를 줄인다.
이러한 장점으로 모든 브라우저는 기본적으로 SOP 정책을 사용하고 있다
출처는 프로토콜, 호스트, 포트의 조합으로 되어있는데, 이 중 단하나라도 다르면 동일한 출처(Origin)로 보지 않는다
(프로토콜)https://(호스트)localhost(포트):3000 => 전체 (Origin)
만약 클라이언트는 'http://localhost:3000'과 서버를 'http://localhost:5000'에서 각각 실행한 뒤 요청을 보낸다면 같은 도메인으로 요청을 보낸 것이 아니기 때문에 이런 CORS 에러가 난다.
해석하면
다른 출처의 리소스를 가져오려고 했지만 SOP때문에 접근이 불가능하다.
CORS 설정을 통해 서버의 응답 헤더에 'Access-Control-Allow-Origin'을 작성하면 접근 권한을 얻을 수 있습니다.
라는 뜻으로 SOP에서 막히는 오류이다.
SOP는 보안에는 도움이 되지만 로컬 환경에서 클라이언트와 서버를 따로 개발하게 될 일은 많고 api나 github 정보를 받아와서 사용하게 된다면 다른 출처의 리소스를 사용해야 하는 경우가 생길 수 있다
CORS(Cross-Origin Resource Sharing) : 교차 출처 리소스
위와 같은 상황에서 사용할 수 있는 것이 CORS이다
CORS는 추가 HTTP 헤더를 사용하여, 한 출처에서 실행 중인 웹 애플리케이션이 다른 출처의 선택한 자원에 접근할 수 있는 권한을 부여하도록 브라우저에 알려주는 체제이다
CORS 동작방식
- 프리플라이트 요청 (Preflight Request)
실제 요청을 보내기 전, OPTIONS 메서드로 사전 요청을 보내 해당 출처 리소스에 접근 권한이 있는지부터(실제 요청이 전송하기에 안전한지) 확인하는 단계를 거친 뒤 가능하다면 실제 요청을 보낸다
- 단순요청(Simple Request)
특정 조건이 만족되면 프리플라이트 요청을 생략하고 요청을 보내는 것
조건 1. GET, HEAD, POST 요청 중 하나여야 한다
조건 2. 자동으로 설정되는 헤더 외에, Accept, Accept-Language, Content-Language, Content-Type 헤더의 값만 수동으로 설정할 수 있다
- 인증 정보를 포함한 요청(Credentialed Request)
요청 헤더에 인증 정보를 담아 보내는 요청.
출처가 다른 경우에는 별도의 설정을 하지 않으면 쿠키를 보낼 수 없고 이 경우 프론트, 서버 양측 모두 CORS 설정이 필요하다
프론트 측에서는 요청 헤더에 withCredentials : true
서버 측에서는 응답 헤더에 Access-Control-Allow-Credentials : true를 넣어줘야 한다
서버측에서 Access-Control-Allow-Origin을 설정할 때, 모든 출처를 허용한 다는 뜻의 와일드카드(*)로 설정하면 에러가 발생한다
'junior developer :) > Node.js' 카테고리의 다른 글
| [Node.js & React] json-server 실행 오류(사용중인 포트 제거) (0) | 2022.12.19 |
|---|---|
| [Node.js] 미들웨어란??( + 미들웨어 모듈) (0) | 2022.10.18 |
