CORS 오류, 웹 보안의 핵심!

CORS는 웹 앱에서 API 호출 시 발생하는 보안 정책이다.

Same-Origin Policy를 기반으로, Cross-Origin 요청을 제한한다.

CORS는 서버에서 설정하며, Postman과 같은 툴에서는 발생하지 않는다.

CORS의 작동 원리: Same-Origin Policy

Same-Origin Policy는 웹 브라우저의 핵심 보안 메커니즘이다. 구체적으로, 서로 다른 Origin 간의 리소스 접근을 제한하여 XSS 공격을 방지한다. 따라서, CORS는 이 정책을 우회하기 위한 안전한 방법으로, 서버가 명시적으로 허용한 Origin에 대해서만 접근을 허용한다.

CORS와 Postman의 차이점: 브라우저 vs 서버

CORS는 브라우저의 보안 정책이므로, Postman과 같은 툴에서는 발생하지 않는다. 반면, Postman은 서버로 직접 요청을 보내므로, CORS 헤더의 영향을 받지 않는다. 따라서, CORS 오류는 프론트엔드 코드의 문제가 아닌, 서버 설정의 문제임을 인지해야 한다.

CORS 설정 가이드: Access-Control-Allow-Origin

CORS를 설정하려면 서버에서 Access-Control-Allow-Origin 헤더를 설정해야 한다. 구체적으로, 허용할 Origin을 명시하거나, 모든 Origin을 허용하는 `*`을 사용할 수 있다. 하지만, 쿠키를 사용하는 경우, `*` 대신 특정 Origin을 지정하고, Access-Control-Allow-Credentials: true를 설정해야 보안을 유지할 수 있다.