CORS의 정의를 알고 왜 요청이 실패하는지, 어떤 방식으로 요청하는지 알아보자.
💡 CORS의 배경과 필요성
- 도메인에 보내는 HTTP 요청에 대해 브라우저는 해당 도메인과 연결된 모든 HTTP 쿠키를 연결함.
- 이는 인증 및 세션 설정에 특히 유용함.
다음의 상황을 가정해보자!
<aside>
⭐ 접근을 막는건 API를 요청하는 사이트도, API를 가진 사이트도 아닌 접속한 사이트를 보여주고 있는 브라우저임!
</aside>
- facebook-clone.com에 로그인한다고 가정해보자.
- 브라우저는 facebook-clone과 관련된 session cookie를 저장할 것임.
- 이제 facebook-clone을 방문할 때마다 저장된 session cookie를 이용하여 HTTP 요청을 하기 때문에 다시 로그인할 필요가 없어짐.
하지만 facebook-clone에 다른 요청을 보낸다면?
- 브라우저는 다른 요청이 있을 때, facebook-clone에 대해 저장된 쿠키를 보낼 수도 있음.
- 만약 갑작스런 팝업이 떠 실수로 evil-site.com으로 이동했다면?
- evil-site는 facebook-clone.com/api로 요청을 보낼 수 있음.
- 요청이 facebook-clone으로 보내지기 때문에 브라우저는 관련 쿠키를 포함하여 응답을 함.
- evil-site는 session cookie를 보내고 facebook-clone에 대한 인증된 액세스 권한을 얻음.
- cross-site request으로 성공적으로 계정이 해킹되었다!