참조

• 블로그: https://velog.io/@chullll/Spring-Security-CORS

Cors(Cross Origin Resource Sharing)란

• 교차 출저를 공유할 수 있는 권한을 부여하도록 브라우저에 알려주는 정책

• 서로 다른 출처를 가진 Application이 서로의 Resource에 접근할 수 있도록 해줌

• originl

  

  • 프로토콜 + host + port 까지를 origin 이라고 함
  • 출처가 같다는 의미는 origin이 같다는 의미이며 포트만 달라도 다르다고 인식

Cors 시나리오

• Simple Request(단순 요청)

  

  • Preflight Request 없이 요청을 보내 서버는 이에 대한 응답으로 Access-Control-Allow-Origin 헤더를 응답하는 방식
  • Credential 없는 요청의 경우 와일드 카드(*) 통해 브라우저의 Origin에 상관없이 모든 리소스에 접근하도록 허용

• Preflight Request

  

  • 먼저, OPTIONS 메서드를 통해 다른 도메인의 리소스로 Http Request를 보내고 실제 요청을 전송하기 전에 안전한지 확인
  • Cross-Site Request는 유저 데이터에 영향을 줄 수 있기 때문에 이와 같이 미리 전송
  • Access-Control-Request-Method:<method>
    • 실제 요청에 어떤 Http Method가 사용될지 서버에 미리 알려주기 위해 preflight request에 사용됨
  • Access-Control-Allow-Methods: <method> or [<method>]*
    • 리소스에 접근할 때 허용되는 메서드를 지정
    • preflight request에 사용됨
  • Access-Control-Request-Headers: <header-name>[, <header-name>]*
    • 실제 요청에 어떤 Http Header를 사용하지 서버에 알려주기 위해 prefilight request에 사용됨
  • Access-Control-Allow-Headers: [,]*
    • preflight request에 대한 응답으로 실제 요청 시 사용할 수 있는 Http Header 알려줌

• credentials request

  

  • Http Cookie와 Http Authentication 정보를 전달
  • Credentials 필요한 cors에는 클라이언트는 Request Header에 withCredentails=true , 서버는 Response Header에 Access-Control-Allow-Origin 포함해야 함
  • Cross-site XMLHttpRequest나 Fetch 호출은 기본적으로 자격 증명을 보내지 않기 떄문에 credentials 옵션을 통해 인증 보안을 강화함
  • 이 요청에 인증관 관련된 정보를 담을 수 있게 해주는 옵션이 바로 credentials 옵션
  • Access-Control-Allow-Credentials: true 응답하지 않으면, 사용자 인증이 필요한 리소스에 대한 응답은 무시되고 웹 컨텐츠는 제공되지 않음
  • Access-Control-Allow-Credentials: true | false
    • Request with Credentials 방식을 사용할 것인지 지정
    • Access-Control-Allow-Credentials 헤더는 credentials 플래그가 true일 때 요청에 대항 응답을 표시할 수 있는지 나타냄