본문 바로가기

사전 › Backend

Backend#Backend#Web#Security

CORS란? — Cross-Origin Resource Sharing

브라우저가 다른 출처(origin) 간 리소스 요청을 제어하는 보안 정책. 응답 헤더로 허용 범위 지정.

CORS란?

Cross-Origin Resource Sharing은 브라우저가 다른 출처(도메인·포트·프로토콜)의 리소스 요청을 통제하는 보안 메커니즘이다.

왜 생겼나

악성 사이트가 사용자의 다른 사이트 세션을 훔쳐 쓰는 것을 막기 위한 Same-Origin Policy의 완화 장치다.

주요 헤더

Access-Control-Allow-Origin — 허용 출처
Access-Control-Allow-Methods — 허용 메서드
Access-Control-Allow-Headers — 허용 헤더
Access-Control-Allow-Credentials — 쿠키 허용 여부

실무 주의

개발 시 편하게 *로 열지 말 것. 프로덕션은 반드시 화이트리스트.

관련 기술노트

BackendCORS 완벽 이해 — 왜 차단되고 어떻게 해결하나

BackendCORS 완벽 이해 — 왜 차단되고 어떻게 해결하나

BackendCORS 완벽 이해 — 왜 차단되고 어떻게 해결하나

함께 보면 좋은 용어

API소프트웨어 간 통신 약속. 보통 HTTP 기반 REST, GraphQL, gRPC가 대표적.GraphQLFacebook이 개발한 API 쿼리 언어. 클라이언트가 필요한 필드만 선택 조회.gRPCGoogle이 개발한 고성능 RPC 프레임워크. Protocol Buffers로 스키마 정의.Rate Limiting단위 시간당 요청 수를 제한하는 기법. Token Bucket·Sliding Window가 대표 알고리즘.RESTHTTP 메서드(GET/POST/PUT/DELETE)와 자원 URL 기반의 API 설계 스타일.

← 전체 사전으로