CORS 에러란 무엇인가?

[alstn113]

.

[le2sky]

simple request, prefilght request

[jimi567]

CORS (Cross Origin Resource Sharing) 란?

한 도메인 또는 웹 페이지가 다른 도메인을 가진 리소스에 엑세스할 수 있게 하는 보안 메커니즘
CORS는 서버와 클라이언트가 정해진 헤더를 통해 서로 요청이나 응답에 반응할지 결정하는 방식으로 CORS라는 이름으로 표준화 되었다.
CORS는 최신 브라우저에서 구현된 동일 출처 정책(same-origin policy) 때문에 등장

동일 출처 정책(same-origin policy)

동일한 출처의 리소스에만 접근하도록 제한하는 것

왜 동일한 출처에서만 접근하도록 허용하는가?
우리가 미션에서 만든 방탈출에서 로그인을 통해 토큰을 받았을 때, 로그인한 상태에서
다른 도메인(www.naver.com)에 접속하게 할 때, 방탈출 도메인에서 흭득한 토큰이 자동으로 첨부되어 네이버에서 사용자 인척 요청을 보낼 수 있게 되므로,..
이렇듯 자동으로 쿠키가 첨부되기 때문에 보안상의 이유로 브라우저는 HTTP 호출을 동일한 출처로 제한함

CORS 가 생긴 이유

지금은 클라이언트에서 도메인이 다른 서버에서 제공하는 API를 사용하는 일이 많아졌다.
그래서 이전처럼 동일한 도메인간의 요청만 할 수 없어졌기 때문에 CORS가 생겼다.

CORS 의 동작 방식

동일 출처 정책은 브라우저에서 임의로 하는 것
따라서, 브라우저를 통하지 않고 요청을 보내거나, 브라우저에 입장에서 동일 출처 정책이 아니라면,
동일 출처가 아니더라도 요청을 보내고 응답을 받을 수 있음

브라우저는 다른 출처로 요청을 보낼 때 다음과 같은 절차를 거침

Simple request

simple 요청은 pre-flighted 요청을 보내지 않는다.

아래의 3가지 조건을 모두 만족하면, simple request

• GET, HEAD, POST, 중의 한 가지 방식을 사용
• POST의 경우, content-type이 아래 셋 중 하나임
  • application/x-www-form-unlencoded
  • multipart/form-data
  • text/plain

simple request 과정

1. 요청을 보낸다.
2. 브라우저는 Host와 같은 헤더를 추가하는 것 외에도 CORS에 대해 Origin Request Header를 자동으로 추가
   EX )

GET /products/ HTTP/1.1
Host: api.domain.com
Origin: https://www.domain.com/

3. 서버에서 Origin Request Header를 확인, Origin 값이 허용되면 , Access-Control-Allow-Origin요청 헤더 Origin 값으로 설정한다.
   EX )

Http/1.1 200 OK
Access-Control-Allow-Origin: https://www.domain.com/
Content-Type: application/json

4. 응답을 받은 브라우저는 Access-Control-Allow-Origin 헤더가 탭의 출처와 일치하는지 확인한다. Access-Control-Allow-Origin 값이 정확히 출처와 일치하거나, "*" 와일드 카드 연산자를 포함하는 경우 검사가 통과됨

Preflighted request

preflighted 요청은 simple request와는 다른 유형의 CORS 요청이다. 브라우저에서 진짜 요청을 보내기 전에 미리 확인 요청을 보낸다. 이 요청은 OPTIONS 메소드를 사용한다.

preflighted 요청은 다음과 같은 과정을 거친다.

1. ajax 요청을 보냄
   EX)

OPTIONS /products/ HTTP/1.1
Host: [api.domain.com](http://api.domain.com/)
Origin: https://www.domain.com/
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Authorization, Content-Type

2. 서버는 허용된 메소드 및 헤더를 지정하여 응답한다.
   EX)

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://www.domain.com/
Access-Control-Allow-Method: GET, POST, OPTIONS, PUT
Access-Control-Allow-Headers: Authorization, Content-Type
Content-Type: application/json

3. 헤더와 메소드가 통과되면, 브라우저는 원래 CORS 요청을 보낸다.
   EX)

POST /products/ HTTP/1.1
Host: [api.domain.com](http://api.domain.com/)
Authorization: token
Content-Type: application/json
Origin: https://www.domain.com/

4. 응답은 Access-Control-Allow-Origin 헤더에 올바른 출처가 있으므로 검사를 통과한다.

CORS 에러 해결법

클라이언트(프론트)에서 해결

1. 웹 브라우저 실행 옵션이나 플러그인을 통한 동일 출처 정책 회피하기
2. jsonp 방식으로 json 데이터 가져오기

• 자바스크립트 파일이나 css 파일은 동일 출처 정책에 영향을 받지 않고 가져올 수 있다.
• 위 처럼 자바스크립트 파일을 가져와서 이를 json 형식으로 파싱해서 데이터를 사용할 수 있다.

서버(백엔드)에서 해결하기 (우리가 알아야하는 부분)

스프링 CORS

1. @crossorigin 어노테이션 사용
   메소드 레벨 및 클래스 레벨에서 srping mvc 애플리케이션에서 spring cors를 지원하는 방법이다. sprign mvc는 @CorssOrigin 어노테이션을 제공한다. 이 어노테이션은 어노테이션이 달린 메소드 또는 타입을 교차 출처를 허용하는 것으로 표시한다.

기본적으로 @crossorigin은 모든 출처, 모든 헤더, @RequestMapping 주석에 지정된 Http 메소드에 최대 30분을 허용한다. 어노테이션에 속성 값을 넣어 기본 값을 대체할 수 있다.

속성값으로는 다음이 있다.

• origins : 허용된 출처, 이 값은 pre-flight 응답과 실제 응답 모두에 access-control-allow-origin헤더에 배치
• allowedHeaders : 실제 요청 중에 사용할 수 있는 요청 헤더 목록이다. pre-flight의 응답 헤더인 access-control-allow-header에 값이 사용된다.
• allowCredential : 브라우저가 요청과 관련된 쿠키를 포함해야하는지 여부를 결정,
  (이 값이 true면, pre-flight 응답에는 값이 true로 설정된 access-control-allow-credentials 헤더가 포함)

EX )

@CrossOrigin(origin="*", allowedHeaders = "*")
@Controller
public class MainController {
	@GetMapping(path = "/")
	public String main(Model model) {
		return "main";
	}
}

2. CorsFilter 사용
   서블릿 필터 인터페이스를 오버라이딩하여, 해결하는 방법
   웹 서버의 모든 리소스의 요청을 가로채서 Cross domain request인지 체크하여 실제 요청 페이지에 전달하기전에 적절한 CORS 정책과 해더들을 적용한다.

• Access-Control-Allow-Origin
  도메인 간 요청을 할 수 있는 권한이 부여된 도메인을 지정한다.
• Access-Control-Allow-Credentials
  도메인 간 요청에 credential 권한이 있는지 없는지 지정한다.
• Access-Control-Expose-Headers
  노출하기에 안전한 헤더를 나타낸다.
• Access-Control-Max-Age
  pre-flighted 요청이 얼마만큼의 시간동안 캐시되는지
• Access-Control-Allow-Methods
  리소스에 접근할 때 메소드가 허용되는지
• Access-Control-Allow-Headers
  어떤 헤더 필드 네임이 실제 요청에서 사용할 수 있는지 가리킨다.

@Component
public class SimpleCorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT, PATCH");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, Accept, X-Requested-With, remember-me");
        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }
}

[GIVEN53]

브라우저는 보안 상의 이유로 SOP(Same-Origin Policy, 동일 출처 정책) 에 따라 다른 출처(Cross-Origin)에 있는 서버로 요청하는 것을 차단합니다.

출처(origin)란
https://www.example.com:8080/path?query=1의 URL이 존재할 때

• protocol : https
• host : www.example.com
• port 8080

위 3가지를 의미하며, 동일 출처는 3가지가 모두 같아야 한다.

그러나 웹 환경 특성상 다른 출처에 있는 리소스를 요청하는 일이 흔하게 발생합니다. 그래서 SOP에 대한 예외 조항을 두고, 이 조항에 해당하는 요청은 출처가 다르더라도 허용하는 CORS(Cross-Origin Resource Sharing) 정책이 등장합니다.
따라서 CORS 에러는 예외 조항인 CORS 정책을 지키지 않아 발생하게 됩니다.

CORS 동작 원리

1. 클라이언트는 출처를 Origin 요청 헤더에 추가하여 전송합니다.
2. 서버는 허용하는 출처를 Access-Control-Allow-Origin 응답 헤더에 추가하여 전송합니다.
   • Access-Control-Allow-Credentials, Access-Control-Allow-Headers, Access-Control-Allow-Methods
3. 브라우저는 두 헤더를 비교하여 유효하지 않을 경우 CORS 에러를 발생시킵니다.
4. 유효할 경우 정상적으로 리소스를 가져옵니다.

Preflight Request

브라우저는 요청을 보낼 때 한 번에 보내지 않고 먼저 예비 요청을 보낸 후 본 요청을 전송합니다.
예비 요청은 OPTIONS 메서드로 요청을 보내서 실제 요청이 안전한지 확인합니다.

클라이언트: 나 Content-Type 헤더 담아서 POST 요청 보낼건데 가능?

OPTIONS /path HTTP/1.1
Origin: http://example.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type

서버: ㅇㅋㅇㅋ 추가로 허용되는 메서드, 헤더 목록도 보내줌 이 외에는 불가능함

HTTP/1.1 204 No Content
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400 -> 브라우저 preflight request 응답 캐싱 시간

POST 요청 ... Origin 헤더만 포함

Simple Request

예비 요청을 생략하고 Origin 헤더를 포함한 본 요청을 바로 전송합니다.
그러나 단순 요청은 아래 조건만 허용합니다.

• 요청 메서드
  • GET
  • POST
  • HEAD
• 요청 헤더 (유저 에이전트가 자동으로 설정한 헤더 이외)
  • Accept
  • Accept-Language
  • Content-Language
  • Content-Type
• Content-Type을 사용할 경우 값
  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

보통 Content-Type으로 application/json을 많이 사용하기 때문에 Simple Request는 드물게 발생합니다.

Credentialed Request

기본적으로 브라우저가 제공하는 요청 API(XMLHttpRequest, fetch API)는 별도의 옵션 없이 브라우저의 쿠키 정보나 인증과 관련된 헤더를 함부로 요청에 담지 않습니다.
이 때 요청에 인증과 관련된 정보를 담을 수 있게 해주는 옵션이 바로 credentials 옵션입니다.
별도의 설정을 하지 않으면 쿠키 등의 인증 정보는 서버에 전송되지 않습니다.
자격 증명을 포함한 요청을 보냈을 때 서버에서 Access-Control-Allow-Credentials: true 를 헤더에 포함하지 않고 응답하면 해당 응답은 거부됩니다.