CORS(Cross-Origin Resource Sharing) 소개 CORS란 무엇입니까?

CORS(Cross-Origin Resource Sharing)는 웹 애플리케이션이 웹 페이지를 제공한 도메인과 다른 도메인에 요청하는 것을 허용하거나 제한하는 웹 브라우저에서 구현되는 보안 기능입니다. . 간단히 말해서 CORS는 한 도메인의 리소스에 다른 도메인의 웹페이지가 액세스할 수 있는지 여부를 결정합니다.

기본적으로 웹 브라우저는 웹 페이지가 페이지를 제공한 도메인이 아닌 다른 도메인에 요청하는 것을 차단하는 동일 출처 정책을 시행합니다. 이는 악의적인 웹사이트가 다른 웹사이트의 민감한 데이터에 접근하는 것을 방지하기 위해 수행됩니다. 그러나 때때로 웹 애플리케이션은 CORS가 작동하는 다른 출처(도메인, 프로토콜 또는 포트)에서 리소스를 요청해야 합니다.

CORS 작동

한 도메인의 웹 애플리케이션이 다른 도메인의 데이터를 요청해야 하는 경우 요청 출처를 나타내는 특정 헤더와 함께 HTTP 요청을 보냅니다. 그런 다음 요청된 리소스를 호스팅하는 서버는 응답에 적절한 CORS 헤더를 보내 요청을 허용할지 여부를 결정해야 합니다.

예를 들어 http://example.com에 호스팅된 프런트엔드 애플리케이션을 구축하고 http://api.example2.com에서 데이터를 가져와야 하는 경우 CORS 헤더는 api.example2의 서버를 허용합니다. com을 사용하여 example.com의 요청을 허용할지 여부를 지정하세요.

일반적인 사용 사례

CORS는 일반적으로 다음 시나리오에 필요합니다.

타사 API 액세스: 많은 최신 웹 애플리케이션은 인증, 결제 처리 또는 소셜 미디어 통합과 같은 서비스를 위해 외부 API를 사용합니다. CORS는 이러한 API가 다른 도메인에서 호스팅되는 경우 필요합니다.

프런트엔드-백엔드 통신: 웹 애플리케이션의 프런트엔드와 백엔드가 서로 다른 도메인이나 하위 도메인에서 호스팅되는 경우 CORS를 사용하여 이들 간의 통신을 허용합니다.

CDN(콘텐츠 전송 네트워크): 웹사이트에서는 CDN을 사용하여 이미지, 스타일시트 또는 JavaScript 파일과 같은 정적 자산을 제공하는 경우가 많습니다. CORS를 사용하면 기본 사이트가 다른 출처에서 호스팅되는 CDN에서 이러한 리소스를 요청할 수 있습니다.

CORS의 주요 매개변수 및 지표

Access-Control-Allow-Origin: 이 헤더는 CORS에서 가장 중요하며 리소스에 액세스하도록 허용된 출처를 나타냅니다. 다음과 같이 설정할 수 있습니다.

특정 출처(Access-Control-Allow-Origin: https://example.com)
모든 원본이 리소스에 액세스할 수 있도록 허용하는 와일드카드(Access-Control-Allow-Origin: *). 그러나 자격 증명이 포함된 요청에는 허용되지 않습니다.
Access-Control-Allow-Methods: 리소스에 액세스할 때 허용되는 HTTP 메서드(예: GET, POST, PUT, DELETE)를 지정합니다. 예:
액세스 제어 허용 방법: GET, POST, PUT

Access-Control-Allow-Headers: 실제 요청 시 사용할 수 있는 HTTP 헤더를 나열합니다. 예를 들어 요청에 X-Custom-Header와 같은 사용자 정의 헤더가 포함된 경우 여기에 지정해야 합니다.
액세스 제어 허용 헤더: X-Custom-Header, 콘텐츠 유형

Access-Control-Allow-Credentials: 요청에 쿠키, HTTP 인증 또는 클라이언트 측 인증서와 같은 자격 증명이 포함될 수 있는지 여부를 나타냅니다. 이는 인증이 필요한 API에 중요합니다. 예: Access-Control-Allow-Credentials: true

Access-Control-Expose-Headers: 브라우저가 요청 클라이언트에 노출해야 하는 헤더를 지정합니다. 기본적으로 브라우저는 Cache-Control 및 Content-Type과 같은 제한된 헤더 세트만 노출하지만 Access-Control-Expose-Header를 사용하면 추가 헤더를 사용할 수 있습니다.

Access-Control-Max-Age: 실행 전 요청(아래 참조)의 결과를 브라우저에서 캐시할 수 있는 기간을 정의합니다. 실행 전 요청 수를 줄여 성능을 향상시키는 데 도움이 됩니다. 예:
접근 제어-최대 연령: 86400(24시간)

실행 전 요청: 특정 유형의 요청, 특히 서버 데이터를 수정하는 요청(예: PUT 또는 DELETE)의 경우 브라우저는 HTTP OPTIONS 메서드를 사용하여 실행 전 요청을 보냅니다. 실제 요청을 보내도 안전한지 서버에 확인합니다. 실행 전 요청에 대한 서버의 응답에 따라 브라우저가 실제 요청을 진행할지 여부가 결정됩니다.

CORS는 언제 필요합니까?

CORS는 다음과 같은 경우에 필요합니다.

교차 출처 요청이 이루어집니다. 프런트엔드와 백엔드가 서로 다른 도메인이나 포트에서 제공되는 경우 또는 애플리케이션에서 외부 API에 액세스하는 경우입니다.

CDN 또는 타사 서비스에서 호스팅되는 리소스에 액세스: 예를 들어 CDN에서 글꼴, 이미지 또는 기타 자산을 로드하는 경우 사이트에서 이러한 자산에 액세스할 수 있도록 서버에 CORS 헤더가 포함되어야 합니다.

보안 문제: CORS를 활성화하면 원본 간 요청이 허용되지만 애플리케이션이 악의적인 공격에 노출되지 않도록 주의 깊게 구성해야 합니다. 신뢰할 수 있는 출처만 허용해야 하며 민감한 작업은 인증 토큰과 같은 추가 보안 조치로 보호해야 합니다.

결론

CORS는 다양한 출처에서 리소스를 안전하고 통제된 공유로 보장하는 중요한 메커니즘입니다. 적절하게 구성되면 최신 웹 애플리케이션이 타사 서비스 및 API와 상호 작용하는 동시에 사용자를 보안 위험으로부터 보호할 수 있습니다. CORS 헤더를 구성하는 방법을 이해하고 헤더가 필요한 시기와 이유를 아는 것은 API, CDN 또는 다중 도메인 애플리케이션을 사용하는 웹 개발자에게 필수적입니다.

위 내용은 CORS(Cross-Origin Resource Sharing) 소개 CORS란 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!