[ 15 ] CORS

SOP ( same origin policy ) 

한 출처 ( origin ) 에서 로드된 문서나 스크립트가 다른 출처의 자원에 접근하는 것을 제한한다.

** 출처 

도메인 , 프로토콜, 포트를 포함한 URL 의 세가지 요소

 

예를 들어, 동일한 출처에 해당하는 경우:

• http://example.com/page1.html과 http://example.com/page2.html

다른 출처에 해당하는 경우:

• http://example.com과 https://example.com (프로토콜이 다름)
• http://example.com과 http://sub.example.com (서브 도메인이 다름)
• http://example.com:80과 http://example.com:8080 (포트가 다름)

 

CORS ( cross origin resource sharing ) 

브라우저는 Preflight 요청을 보내고, CORS 허용을 설정한 서버로 부터 응답이 오면 요청을 보낸다

 

CORS 의 API 요청 차단은 브라우저에서 ! 

따라서 Proxy 서버를 통해서 백엔드 컴퓨터에서 요청을 보내거나, 모바일에서 요청을 보낼 경우에는 CORS 의 차단 적용을 피할 수 있다

 

CORS 차단은 왜 브라우저에서 할까? CORS의 목적 

CORS 의 목적은 브라우저에 저장되어 있는 쿠키를 가지고 악의적인 다른 도메인 ( daum과 똑같이 생긴 daun 사이트 ) 에서 요청을 보내서 서버의 요청을 처리하는 일 ( CSRF ) 을 막기 위함이다! 따라서 브라우저에서 CORS 의 차단을 관리한다.