동일 출처 정책(SOP)과 교차 출처 리소스 공유(CORS)

동일 출처 정책(Same-Origin-Policy)

웹에서 기본적인 보안 원칙 중 하나이다.
여기서 말하는 출처(Origin)란 URL의 세 가지 구성 요소를 의미한다.
- 프로토콜
- 도메인
- 포트 번호
동일 출처 정책은 자신과 동일한 출처에서만 접근할 수 있도록 제한하여 데이터를 보호하는 정책이다.
정책에 따라 웹서버에서는 동일한 프로토콜과 도메인, 포트에서 요청된 접근만 허용하게 된다.
만약 "https://first.com:443"이라는 출처에서는 "https://second.com:443"에 해당되는 출처에 접근할 수 없는 것이다.
 
하지만 필요에 따라 이러한 제한을 넘어서 다른 출처에 접근해야 하는 상황이 있다.
예를 들어, 개발중인 웹 화면과 서버를 담당하는 프로젝트를 분리하여 백엔드와 프론트엔드가 서로 다른 서로 다른 도메인이나 포트를 가지는 경우가 있다.
프론트엔드에서 다른 출처를 가지는 서버에 요청을 보내야하는데, 그런 상황에서 사용할 수 있는 것이 교차 출처 리소스 공유(Cross-Origin Resource Sharing)이다.
 

교차 출처 리소스 공유(Cross-Origin Resource Sharing)

웹 브라우저와 서버 간의 교차 출처에 대한 요청을 가능하게 하는 메커니즘이다.
교차 출처란 동일 출처가 아닌 다른 출처에서 접근하는 것을 말한다.
서버에서 지정된 출처에서의 접근을 허용하면, 웹 브라우저에서는 서버의 자원을 안전하게 사용할 수 있도록 한다.