SOP란?
- Same-Origin Policy (동일 출처 정책)
- 같은 출처의 리소스만 공유가 가능하다!
- 출처는
프로토콜,호스트,포트의 조합으로 되어있습니다. 이 중 하나라도 다르면 동일한 출처로 보지 않는다.
SOP가 생긴 이유
- 잠재적으로 해로울 수 있는 문서를 분리함으로써 공격받을 수 있는 경로를 줄여준다.
- SOP은 애초에 다른 사이트와의 리소스 공유를 제한하기 때문에 로그인 정보가 타 사이트의 코드에 의해서 새어나가는 것을 방지
- 보안상 이점 때문에 SOP은 모든 브라우저에서 기본적으로 사용하고 있는 정책
CORS란?
- Cross-Origin Resource Sharing (교차 출처 리소스 공유)
- 추가 HTTP 헤더를 사용하여, 한 출처에서 실행 중인 웹 애플리케이션이 다른 출처의 선택한 자원에 접근할 수 있는 권한을 부여하도록 브라우저에 알려주는 체제
- CORS 설정을 통해 서버의 응답 헤더에 ‘Access-Control-Allow-Origin’을 작성하면 접근 권한을 얻을 수 있다.
CORS의 동작 방식 3가지
-
프리플라이트 요청
-
OPTIONS메서드로 사전 요청을 보내 해당 출처 리소스에 접근 권한이 있는지부터 확인하는 것 -
브라우저는 서버에 실제 요청을 보내기 전에 프리플라이트 요청을 보내고 응답 헤더의 Access-Control-Allow-Origin으로 요청을 보낸 출처가 돌아오면 실제 요청을 보내게
-
CORS에 대비가 되어있지 않은 서버라도 프리플라이트 요청을 먼저 보내게 되면, 프리플라이트 요청에서 CORS 에러가 띄운다.
-
-
단순 요청
단순 요청은 특정 조건이 만족되면 프리플라이트 요청을 생략하고 요청을 보내는 것을 말한다.
-
GET,HEAD,POST요청 중 하나여야 한다. -
자동으로 설정되는 헤더 외에, Accept, Accept-Language, Content-Language, Content-Type 헤더의 값만 수동으로 설정할 수 있다. // ?
-
-
인증정보를 포함한 요청
-
이 경우에는 프론트, 서버 양측 모두 CORS 설정이 필요하다.
-
프론트 측에서는 요청 헤더에 withCredentials : true 를 넣어줘야 한다.
-
서버 측에서는 응답 헤더에 Access-Control-Allow-Credentials : true 를 넣어줘야 한다.
-
서버 측에서 Access-Control-Allow-Origin 을 설정할 때, 모든 출처를 허용한다는 뜻의 와일드카드(*)로 설정하면 에러가 발생
-
Express로 간단한 웹 서버 만들기
const express = require('express')
const app = express()
const cors = require('cors');
const PORT = 4999;
const ip = 'localhost';
app.use(cors()) //모든 요청에 대해 cors를 사용할 때
app.use(express.json({strict: false}));
//스트릭 모드가 true => 객체만 넘어오고
//false => 객체와 데이터가 넘어온다.
const myLogger = function (req, res, next) {
console.log(`http request method is ${req.method}, url is ${req.url}`);
next();
};
app.use(myLogger);
app.get('/', (req, res) => {
res.send(req.body);
})
app.listen(PORT, ip, () => {
console.log(`http server listen on ${ip}:${PORT}`);
});
app.post('/lower', (req, res)=>{
res.json(req.body.toLowerCase());
})
app.post('/upper', (req, res)=>{
res.json(req.body.toUpperCase());
})