SOP란?
프로토콜
, 호스트
, 포트의 조합
으로 되어있습니다. 이 중 하나라도 다르면 동일한 출처로 보지 않는다.SOP가 생긴 이유
CORS란?
CORS의 동작 방식 3가지
프리플라이트 요청
OPTIONS
메서드로 사전 요청을 보내 해당 출처 리소스에 접근 권한이 있는지부터 확인하는 것
브라우저는 서버에 실제 요청을 보내기 전에 프리플라이트 요청을 보내고 응답 헤더의 Access-Control-Allow-Origin으로 요청을 보낸 출처가 돌아오면 실제 요청을 보내게
CORS에 대비가 되어있지 않은 서버라도 프리플라이트 요청을 먼저 보내게 되면, 프리플라이트 요청에서 CORS 에러가 띄운다.
단순 요청
단순 요청은 특정 조건이 만족되면 프리플라이트 요청을 생략하고 요청을 보내는 것을 말한다.
GET
, HEAD
, POST
요청 중 하나여야 한다.
자동으로 설정되는 헤더 외에, Accept, Accept-Language, Content-Language, Content-Type 헤더의 값만 수동으로 설정할 수 있다. // ?
인증정보를 포함한 요청
이 경우에는 프론트, 서버 양측 모두 CORS 설정이 필요하다.
프론트 측에서는 요청 헤더에 withCredentials : true 를 넣어줘야 한다.
서버 측에서는 응답 헤더에 Access-Control-Allow-Credentials : true 를 넣어줘야 한다.
서버 측에서 Access-Control-Allow-Origin 을 설정할 때, 모든 출처를 허용한다는 뜻의 와일드카드(*)로 설정하면 에러가 발생
Express로 간단한 웹 서버 만들기
const express = require('express')
const app = express()
const cors = require('cors');
const PORT = 4999;
const ip = 'localhost';
app.use(cors()) //모든 요청에 대해 cors를 사용할 때
app.use(express.json({strict: false}));
//스트릭 모드가 true => 객체만 넘어오고
//false => 객체와 데이터가 넘어온다.
const myLogger = function (req, res, next) {
console.log(`http request method is ${req.method}, url is ${req.url}`);
next();
};
app.use(myLogger);
app.get('/', (req, res) => {
res.send(req.body);
})
app.listen(PORT, ip, () => {
console.log(`http server listen on ${ip}:${PORT}`);
});
app.post('/lower', (req, res)=>{
res.json(req.body.toLowerCase());
})
app.post('/upper', (req, res)=>{
res.json(req.body.toUpperCase());
})