SOP,CORS

 

 

SOP

sop란 Same-Origin Policy의 줄임말로, 동일 출처 정책

 

같은 출처의 리소스만 공유가 가능

출처란 프로토콜, 호스트, 포트의 조합 하나라도 다르면 동일한 출처로 보지 않는다.

 

SOP이 생겨난 이유

잠재적으로 해로울 수 있는 문서를 분리함으로써 공격받을 수 있는 경로를 줄여준다.

애초에 다른 사이트와의 리소스 공유를 제한하기 때문에 로그인 정보가 타 사이트의 코드에 의해서 새어나가는 것을 방지

 

 

CORS

 

Cross-Origin Resource Sharing의 줄임말로 교차 출처 리소스 공유를 뜻

추가 HTTP 헤더를 사용하여, 한 출처에서 실행 중인 웹 애플리케이션이 다른 출처의 선택한 자원에 접근할 수 있는 권한을 부여하도록 브라우저에 알려주는 체제

 

CORS 동작 방식

 

프리플라이트 요청 (Preflight Request)

실제 요청을 보내기 전, OPTIONS 메서드로 사전 요청을 보내 해당 출처 리소스에 접근 권한이 있는지부터 확인하는 것

 

프리플라이트 요청은 왜 필요한가

• 실제 요청을 보내기 전에 미리 권한 확인, 실제 요청을 처음부터 통째로 보내는 것보다 리소스 측면에서 효율적
• CORS에 대비가 되어있지 않은 서버를 보호.(CORS이전 서버들은 SOP로만 이루어져 있어 다른출처의 요청에 대한 대비가 안되어 있기 때문)

 

단순 요청 (Simple Request)

특정 조건이 만족되면 프리플라이트 요청을 생략하고 요청을 보내는 것

 

특정조건이란 

GET, HEAD, POST 요청 중 하나

자동으로 설정되는 헤더 외에, Accept, Accept-Language, Content-Language, Content-Type 헤더의 값만 수동으로 설정

 

인증정보를 포함한 요청 (Credentialed Request)

요청 헤더에 인증 정보를 담아 보내는 요청

출처가 다를 경우에는 별도의 설정을 하지 않으면 쿠키를 보낼 수 없음

프론트, 서버 양측 모두 CORS 설정이 필요

• 프론트 측에서는 요청 헤더에 withCredentials : true 를 넣어줘야 합니다.
• 서버 측에서는 응답 헤더에 Access-Control-Allow-Credentials : true 를 넣어줘야 합니다.
• 서버 측에서 Access-Control-Allow-Origin 을 설정할 때, 모든 출처를 허용한다는 뜻의 와일드카드(*)로 설정하면 에러가 발생
• 인증 정보를 다루는 만큼 출처를 정확하게 설정

 

CORS 설정 방법

 

Node.js 서버

 

const http = require('http');

const server = http.createServer((request, response) => {
  // 여기서 작업이 진행됩니다!
});

const http = require('http');

const server = http.createServer((request, response) => {
// 모든 도메인
  response.setHeader("Access-Control-Allow-Origin", "*");

// 특정 도메인
  response.setHeader("Access-Control-Allow-Origin", "https://codestates.com");

// 인증 정보를 포함한 요청을 받을 경우
  response.setHeader("Access-Control-Allow-Credentials", "true");
})

 

사용예제

const defaultCorsHeader = {
  'Access-Control-Allow-Origin': '*',
  'Access-Control-Allow-Methods': 'GET, POST, PUT, DELETE, OPTIONS',
  'Access-Control-Allow-Headers': 'Content-Type, Accept',
  'Access-Control-Max-Age': 10
};

 

위의 코드를 통해 요청한 cross origin 해석

• 모든 도메인(*)을
• 메서드는 GET, POST, PUT, DELETE, OPTIONS만
• 헤더에는 content-type과 accept만 쓸 수 있다
• preflight request는 10초까지

이후 헤더에 추가 한다.

const server = http.createServer((request, response) => {

  if (request.method === "OPTIONS") {
    response.writeHead(200, defaultCorsHeader);
    response.end();
  }

  if (request.method === "POST") {
    let body = [];
    request.on('data', (chunk) => {
      body.push(chunk);
    }).on('end', () => {
      response.writeHead(200, defaultCorsHeader);
      body = Buffer.concat(body).toString();
      response.end(body);
    }); 
  } else {
    response.statusCode = 400;
    response.end();
  }
  
  });