CORS(Cross-Origin Resource Sharing)

1. CORS

 

- 브라우저는 기본적으로 다른 출처의 리소스를 함부로 가져오면 안된다는 보안 정책을 가지고 있습니다. 이런 보안 정책을 SOP(Same Origin Policy)라고 합니다.

-> 여기서 Origin(출처)란 프로토콜+도메인+포트를 합친 것으로, 이 세개가 전부 같아야 같은 출처라고 할 수 있습니다.

/users는 경로로 출처에 포함되지 않습니다.

 

- 하지만 현대 웹 개발에서는 프론트엔드와 백엔드를 분리하는 것이 일반적으로, 도메인이 다르기 때문에 SOP에 의해 차단당하게 됩니다. 이런 경우를 허용하는 메커니즘이 CORS(Cross-Origin Resource Sharing)입니다.

-> 브라우저가 다른 출처에 요청을 할 때는 요청 헤더에 자동으로 Origin을 붙여서 보내고 서버가 응답 헤어데 허용 출처를 담아서 보낸 뒤 브라우저가 응답 헤더를 확인할 때 허용된 출처 시에는 응답을 JS에 전달하고, 허용되지 않았으면 응답을 차단하는 식으로 동작합니다.

 

- SOP 보안정책은 브라우저에 한정되어있기 때문에 Postman처럼 브라우저를 거치지 않으면 에러가 나지 않습니다.