<aside> 💡 목차

</aside>

사전 개념

1. Origin(출처)

• URL에서 확인 가능한 프로토콜, 호스트, 포트 가 같을 때 같은 출처!
  • localhost 와 127.0.0.1은 다른 호스트로 판단됨!(실제로는 같은 주소지만)

2. SOP(Same Origin Policy)

정의

• 다른 출처 리소스를 사용하는 걸 제한하는 보안 방식

왜 SOP를 사용하는가?

• 페북 로그인 후 해커 링크 클릭 시!
  • 해커가 페북 토큰을 통해 게시물을 마음대로 올릴 수 있다!
  • 송금 등 민감 정보를 가져올 수도 있다!
• SOP를 이용하면 Origin이 다르기 때문에 요청을 거절한다!
  • (해커는 hacker.ck에서 요청을 보낸다. 원래는 facebook.com에서 요청이 와야 한다!)

CORS

• 교차 출처 리소스 공유(Cross-Origin Resorce Sharing, CORS)

1. 정의

다른 Origin(도메인/프로토콜..) 등으로 들어오는 요청을 허용해주는 것!

• 추가 HTTP 헤더를 사용해
  • 한 출처에서 실행 중인 웹 어플리케이션이
    • 다른 출처의 선택한 자원에 접근할 수 있는
    • 권한을 부여하도록
• 브라우저에 알려주는 체제

2. 접근 제어 시나리오

1) Simple Request

• 사전요청(Preflight) 없이! 바로 요청을 날림!