Cross-Origin Resource Sharing (교차 출처 리소스 공유)
허가되지 않은 Origin으로부터의 요청을 차단하도록 권고하는 정책
URL 추가 설명은 여기로
여기서 Origin이란 → 프로토콜 + 호스트 + 포트
셋 중 하나라도 다르면 다른 Origin으로 간주됨
Simple Request일 경우:
헤더에 Access-Control-Allow-Origin을 넣어서 응답 리턴. 브라우저에서 이 헤더에 따라 코드 실행 차단
포인트: 브라우저는 CORS정책을 강제하지만, 브라우저 외의 클라이언트(curl요청, Postman, 기타 자체 제작 클라이언트)는 이 정책을 따를 의무가 없음. 즉 CORS정책에 위배되는 요청이라고 해도 응답 본문은 수신했기 때문에 리소스 사용이 가능, 따라서 서버에서 추가적인 보안 정책을 구성할 필요가 있음
Simple Request의 조건: