SOP
- SOP은 Same-Origin Policy의 줄임말로, 동일 출처 정책을 뜻한다.
- 같은 출처의 리소스만 공유한다.
- 출처는 프로토콜, 호스트, 포트의 조합으로 되어 있다. 하나라도 다르면 동일한 출처로 보지 않는다.
- 해로울 수 있는 문서를 분리함으로써 공격받을 수 있는 경로를 줄여준다.
CORS
- CORS는 Cross-Origin Resource Sharing의 줄임말로 교차 출처 리소스 공유를 뜻한다.
- 추가 HTTP 헤더를 사용해 다른 출처의 선택한 자원에 접근할 수 있는 권한을 부여하도록 브라우저에 알려주는 체제이다.
CORS 동작 방식
프리플라이트 요청(Preflight Request)
- 실제 요청을 보내기 전, OPTIONS 메서드로 사전 요청을 보내 해당 출처 리소스에 접근 권한이 있는지부터 확인하는 것이다.
- 브라우저는 서버에 실제 요청을 보내기 전에 프리플라이트 요청을 보내고, 응답 헤더의 Access-Control-Allow-Origin으로 요청을 보낸 출처가 돌아오면 실제 요청을 보낸다.
- 요청을 보낸 출처가 접근 권한이 없다면 브라우저에서 CORS 에러르 띄우고 실제 요청을 전달되지 않는다.
- 실제 요청을 보내기 전에 미리 권한 확인을 하기 때문에 실제 요청을 통째로 보내는 것보다 리소스 측면에서 효율적이다.
- CORS에 대비가 되어있지 않은 서버를 보호할 수 있다.
단순 요청 (Simple Request)
- 특정 조건이 만족되면 프리플라이트 요청을 생략하고 요청을 보내는 것
- GET, HEAD, POST 요청 중 하나여야 한다.
- 자동으로 설정되는 헤더 외에, Accept, Accept-Languqage, Content-Language, Conten-Type 헤더의 값만 수동으로 설정할 수 있다.
인증정보를 포함한 요청 (Credentialed Request)
- 요청 헤더에 인증 정보를 담아 보내는 요청
- 출처가 다를 경우에는 별도의 설정을 하지 않으면 쿠키를 보낼 수 없다.
- 프론트 서버 양측 모두 CORS 설정이 필요하다.
CORS 설정 방법
Node.js 서버
const http = require('http');
const server = http.createServer((request, response) => {
// 모든 도메인
response.setHeader("Access-Control-Allow-Origin", "*");
// 특정 도메인
response.setHeader("Access-Control-Allow-Origin", "https://codestates.com");
// 인증 정보를 포함한 요청을 받을 경우
response.setHeader("Access-Control-Allow-Credentials", "true");
})Express 서버
cors 미들웨어를 사용해서 간단하게 CORS 설정을 할 수 있다.
const cors = require("cors");
const app = express();
//모든 도메인
app.use(cors());
//특정 도메인
const options = {
origin: "https://codestates.com", // 접근 권한을 부여하는 도메인
credentials: true, // 응답 헤더에 Access-Control-Allow-Credentials 추가
optionsSuccessStatus: 200, // 응답 상태 200으로 설정
};
app.use(cors(options));
//특정 요청
app.get("/example/:id", cors(), function (req, res, next) {
res.json({ msg: "example" });
});- npm install express로 설치
- 기본 라우팅 app.METHOD(PATH, HANDLER)
- app은 express의 인스턴스, METHOD는 HTTP 요청 메소드, PATH는 서버의 경로, HANDLER 라우트가 일치할 때 실행되는 함수
app.get('/', function (req, res) {
res.send('Hello World!');
});
app.post('/', function (req, res) {
res.send('Got a POST request');
});
app.post('/', function (req, res) {
res.send('Got a POST request');
});
app.delete('/user', function (req, res) {
res.send('Got a DELETE request at /user');
});
// 간단한 예시
미들웨어
- 자동차 공장의 공정 처럼 요청에 필요한 기능을 더하거나 삭제하는 등의 역할을 한다.
- POST 요청 등에 포함된 body를 구조화할 때(쉽게 얻어내고자 할 때) - express.json()을 사용함
const jsonParser = express.json();
// 생략
app.post('/api/users', jsonParser, function (req, res) {
})
- 모든 요청/응답에 CORS 헤더를 붙여야 할 때
npm install cors
const cors = require('cors');
// 생략
app.use(cors()); // 모든 요청에 대해 CORS 허용
/////////////////////////////////////////////////////////////////
const cors = require('cors')
// 생략
app.get('/products/:id', cors(), function (req, res, next) {
res.json({msg: 'This is CORS-enabled for a Single Route'})
}) // 특정 요청에 대해 CORS 허용
- 모든 요청에 대해 url이나 메서드를 확인할 때
- 요청 헤더에 사용자 인증 정보가 담겨있는지 확인할 때
종합퀴즈
- SOP에서 동일한 출처(Origin)으로 보기위해선 프로토콜, 호스트, 포트가 같아야함
- 다른 출러의 리소스를 받아오기 위해서 CORS가 등장했다.
- OPTIONS 메서드로 프리플라이트 요청을 보낸다.
- 프리플라이트 요청으로 미리 접근 권한을 확인할 수 있다.
- Express에서 출처 접근 권한을 설정하려면 origin을 설정한다.
'코드스테이츠 > section2' 카테고리의 다른 글
| [React] 클라이언트 Ajax 요청 (0) | 2022.06.16 |
|---|---|
| REST API (0) | 2022.06.10 |
| HTTP/네트워크 기초 (0) | 2022.06.10 |
| React Props & State (0) | 2022.06.09 |
| React SPA (0) | 2022.06.04 |
