CORS란?

공부 전 이미지

s3라든지 cloudfront에 있는 이미지···?
안마시란

조사

CORS란?

Cross-Origin Resource Sharing의 약자로 오리진 간 리소스 공유의 의미입니다.
브라우저에서 보는 페이지와 다른 도메인에서 데이터를 검색할 수 있는 메커니즘입니다.
브라우저는 보안상의 크로스 사이트 스크립팅을 방지하기 위해
오리진 도메인의 서버와만 통신할 수 있는 제약이 있습니다.

크로스 사이트 스크립팅이란?

XSS로 약칭되지만,
동적 사이트에 악성 스크립트를 삽입하여 서비스를 이용하는 최종 사용자에게 공격하는 사이버 공격입니다.

이미지로는 아래 그림과 같은 느낌입니다.

공격자가 웹 사이트에 스크립트를 배치합니다.

최종 사용자가 웹 페이지를 볼 때

가짜 사이트로 날아

최종 사용자는 가짜 사이트 웹 페이지를 표시합니다.

최종 사용자가 악성 코드에 감염되었으므로

공격자에게 정보 유출이 발생합니다.

그래서 기본적으로는 브라우저에서는 오리진 도메인의 서버와밖에 통신을 할 수 없게 되어 있습니다.
그것을 허용하는 것이 CORS입니다.

원래 Ajax는 다른 오리진과 통신을 할 수 없었기 때문에, JSONP가 사용되게 되었지만,
JSONP는 취약성을 쉽게 만들었기 때문에 CORS가 태어났습니다.
원래 다른 서버와 통신은 되어 있었지만, 안전이 아니었기 때문에 안전하게 통신할 수 있도록 한 경위가 있습니다.

공부 후 이미지

과연-전혀 몰랐다. .
브라우저에서 통신하는 서버는 오리진 서버뿐입니다.

참고

크로스 사이트 스크립팅이란? 구조와 사례에서 생각하는 대책

CORS (Cross-Origin Resource Sharing)에 의한 크로스 도메인 통신의 경향과 대책

웹 앱 개발자를 위한 HTML5 보안 시작