CORS (Cross-Origin Resource Sharing)에 대해서

CORS이란?

• CORS (Cross-Origin Resource Sharing) 교차 출처 리소스 공유는 출처가 다른 자원들을 공유한다는 뜻으로, 한 출처에 있는 자원에서 다른 출처에 있는 자원에 접근하도록 하는 개념이다. 이를 통해 웹 애플리케이션에서 다른 도메인으로부터 리소스를 요청할 때 적용된다.

• 브라우저와 서버 간의 안전한 교차 출처 요청 및 데이터 전송을 지원한다. 최신 브라우저는 XMLHttpRequest 또는 Fetch와 같은 API에서 CORS를 사용하여 교차 출처 HTTP 요청의 위험을 완화한다

• 웹 애플리케이션은 리소스가 자신의 출처 (도메인, 프로토콜, 포트)와 다를 때 교차 출처 HTTP 요청을 실행한다. 브라우저는 보안 상의 이유로, 스크립트에서 시작한 교차 출처 HTTP 요청을 제한한다.

CORS 적용 방법

• 서버에서 Access-Control-Allow-Origin 헤더를 설정하여 허용할 출처를 지정한다.

  Access-Control-Allow-Origin: *

  위와 같이 설정하면 모든 출처에서 요청을 허용한다. 하지만 보안상의 이유로 모든 출처에서 요청을 허용하는 것은 권장되지 않는다. 따라서 신뢰할 수 있는 출처만 허용하도록 설정해야 한다.

• JSONP(JSON with Padding)를 사용한다.

  JSONP(JSON with Padding)는 서버에서 JSON 데이터를 반환할 때, JSON 데이터를 함수 호출로 감싸서 반환하는 방식이다. 이 방식은 script 태그로 요청을 보내기 때문에 CORS 문제가 발생하지 않는다.

• 프록시 서버를 사용합니다.

  프록시 서버는 클라이언트와 서버 사이에 위치한 중간 서버이다. 클라이언트는 프록시 서버에 요청을 보내고, 프록시 서버는 해당 요청을 대신하여 서버에 요청을 보내고 응답을 받아 클라이언트에게 전달한다. 이 방식은 CORS 문제를 해결할 수 있다.

CORS를 사용하는 이유

• CORS는 보안 상의 이유로 브라우저에서 요청을 제한하는 것으로 구현되어 있다. 이를 통해 다른 출처의 리소스를 사용하는 것에 제한하는 보안 방식을 적용할 수 있다.

CORS의 문제점

• CSRF(Cross-Site Request Forgery) 공격이 가능하다.

  CSRF(Cross-Site Request Forgery) 공격은 사용자가 의도하지 않은 요청을 보내는 공격이다. 이 공격은 사용자가 악성 웹사이트에 접속하여 악성 스크립트를 실행하면 발생한다. 이 스크립트는 사용자의 권한으로 다른 웹사이트에 요청을 보내고, 이 요청이 성공하면 사용자의 권한으로 해당 웹사이트에서 작업을 수행할 수 있다.

• 쿠키와 같은 민감한 정보가 탈취될 수 있다.

  쿠키와 같은 민감한 정보가 탈취될 수 있는 문제는, CORS를 허용하는 서버에서는 모든 출처에서 요청을 허용하기 때문이다. 따라서 악성 스크립트를 실행하는 웹사이트에서는 CORS를 허용하는 서버로부터 쿠키와 같은 민감한 정보를 탈취할 수 있다.

• 서버의 데이터가 변조될 수 있다.

  서버의 데이터가 변조될 수 있는 문제는, CORS를 허용하는 서버에서는 모든 출처에서 요청을 허용하기 때문이다. 따라서 악성 스크립트를 실행하는 웹사이트에서는 CORS를 허용하는 서버로부터 데이터를 변조할 수 있다.