4월, 2018의 게시물 표시

CORS(Cross Origin Resource Sharing, 크로스 도메인) 이슈

최근 케이블 통신사와  클라우드 서버간 연동 과정에서 CORS(Cross Origin Resource Sharing, 크로스 도메인) 이슈가 발생했다. 케이블 통신사에서는 STB의 기능들이 브라우저에서 동작하기 때문에 우리가 구축한 서버에 연동을 위해서는 CORS가 우리 서버에서 허용이 필요하다는 의견을 줬다. 그래서 CORS가 무엇인지 확인하고, 보안 이슈가 없는지 등을 검토 해 봤다. CORS(Cross-Origin Resource Sharing)란 무엇인가? CORS는 한 도메인에서 로드되어 다른 도메인에 있는 리소스와 상호 작용하는 클라이언트 웹 애플리케이션에 대한 방법을 정의한다 최신 웹 브라우저들이 보안상의 이유로 JavaScript나AJAX로 외부 Host로 접속하는 것을 차단하기 시작했다. 그래서 JavaScript는 보안 측면에서 Same Origin Policy 정책을 둬서 자신이 속한 동일 도메인내에서만 서버 요청을 허용하고, 다른 도메인의 서버 요청을 차단한다. 이 문제를 해결하기 위해 CORS가 제안 되었으며, AWS 등 많은 Public Cloud에서도 지원하기 시작했다. CORS 표준은 브라우저와 서버에 그들이 권한을 가진 원격 URL을 요청할 수 있는 방법을 제공하는 새로운 HTTP 헤더를 설명한다. 일부 유효성 검사 및 권한 부여는 서버에서 수행 할 수 있지만 일반적으로 이러한 헤더를 지원하고 부과하는 제한 사항을 준수하는 것은 브라우저의 책임이다.  CORS의 종류는 4가지가 있다. Simple Request Preflight Request Credential Request Non-Credential Request Simple Request Simple Request는 세 가지 조건이 있다. GET, HEAD, POST 중 한 가지 방식을 사용해야 함 POST일 경우 Context-type이 아래 셋 중 하나를 만족 application/x-www-fo