CORS(Cross-Origin Resource Sharing)이란?

@linkedin-sales-solutions unsplash

Origin 이란?

오리진(Origin)이라는 단어가 CORS에 나와서 간단하게 먼저 정리를 해보려고 합니다.

오리진과 비슷한 개념으로는 도메인(domain)이라는게 있습니다. 

간단하게 둘사이의 차이에 대해서 예시로 설명을 하자면

· 도메인(doamin): itworldyo.tistory.com
· 오리진(origin): https://itworldyo.tistory.com:80

이와 같이 도메인과 오리진 둘 사이의 차이는 프로토콜(https://)과 포트번호(80)의 포함 여부입니다.

 

CORS(Cross-Origin Resource Sharing)이란?

CORS(Cross-Origin Resource Sharing)는 영문으로 해석하면 교차 출처 리소스 공유의 줄임말로 어떠한 오리진에서 작동하고 있는 웹 애플리케이션이 다른 오리진 서버로의 액세스를 오리진 사이의 HTTP 요청에 의해 허가를 할 수 있는 체계라고 할 수 있습니다.

간단하게 얘기를 하자면 동일한 오리진에서는 허용할 수 있지만 다른 오리진으로는 호출을 할 수없다는 뜻입니다.

 

@mdn

CORS의 필요성(Same-Origin Policy)

브라우저의 웹 시큐리티의 중요한 정책 중 하나로 Same-Origin Policy가 있습니다. 이는 오리진 사이의 리소스 공유에 제한을 거는 것으로 다음과 같은 위험을 막는 것을 목 저으로 하고 있습니다.

 

1. XSS(Cross Site Scripting)

유저가 웹 사이트에 접속하는 것으로 정상적이지 않은 요청이 클라이언트(웹 브라우저)에서 실행되는 것을 나타내며, Cookie 내에 Session 정보를 탈취하는 등의 예시가 있습니다.

 

2. CSRF(Cross-Site Request Forgeries)

웹 애플리케이션의 유저가 의도하지 않은 처리를 웹 애플리케이션에서 실행되는 것을 나타내며 원래는 로그인한 유저밖에 실행할 수 없는 처리가 멋대로 실행되는 등의 예시가 있습니다.