정수원의 Spring Security Oauth2 (5) : CORS

CORS

- Http 헤더를 사용해 한 출처에서 사용 중인 웹 애플리케이션이 다른 출처의 선택한 자원에 접근할 수 있는 권한을 부여하도록 브라우저에 알려주는 체제

- 웹 애플리케이션이 리소스가 자신의 출처와 다를 때 브라우저는 요청 헤더에 Origin 필드에 요청 출처를 함께 담아 교차 출처 Http 요청을 실행한다

- 출처 비교 로직은 서버 구현 스펙이 아닌 브라우저에 구현된 스펙 기준으로 처리되며 브라우저는 클라이던트의 요청 헤더와 서버의 응답 헤더를 비교해 최종 응답을 결정한다

- 두 개의 출처를 비교하는 방법은 URL의 구성요소 중 Protocol, Host, Port 세 가지가 동일한지를 확인함으로 비교

 

ex) http://abc.com 에서 XMLHttpRequst, ajax(또는 FetchAPI) 요청을 http://bcd.com 의  데이터 json을 요청하는 경우 해당 요청은 제한된다

 

CORS의 종류

1. Simple Request

Preflight(예비 요청) 없이 서버에 본 요청을 하고, 응답 헤더에 Acces-Control-Allow-Origin가 담겨올 때 브라우저가 이를 비교한 후 CORS 위반 여부를 비교하는 방식

 

2. Preflight Request

브라우저에서 본 요청을 보내기 전 예비 요청을 서버에 보내 CORS 위반 여부를 확인하는 방식이다. OPTIONS 방식을 사용한다

 

CORS 서버 설정

1) Access-Control-Allow-Origin : 헤더에 작성된 출처에만 브라우저가 리소스를 허용한다

2) Access-Control-Allow-Methods : 예비 요청에 대한 응답을 실 요청에서 사용 가능한 메서드를 보여준다

3) Access-Control-Allow-Headers : 예비 요청에 대한 응답으로 실 요청에서 사용 가능한 헤더 필드를 보여준다

4) Access-Control-Allow-Credentials : 실제 요청에 쿠키나 인증 등의 사용자 자격 증명이 포함될 수 있음을 나타낸다

5) Access-Control-Allow-Max-Age : 예비 요청 결과를 캐시할 수 있는 시간을 나타낸다

 

스프링 시큐리티

1. CorsConfigurer

1) 필터 체인에 CorsFilter를 추가하고, 사용한다

2) 만약 corsFilter 빈이 제공되면 해당 빈을 우선 사용한다

3) corsFilter 빈이 없이, CorsConfigurationSource 빈이 정의된 경우엔 해당 설정을 사용한다

4) CorsConfigurationSource가 없고 SpringMVC가 클래스 경로에 있는 경우 HandlerMappingIntrospector가 사용된다

 

2. CorsFilter

- CORS 예비요청을 처리하고 Simple 또는 본 요청을 가로챈다. 제공된 CorsConfigurationSouce를 통해 일치된 정책에 따른 응답을 업데이트하는 필터

 

cf) Spring MVC Java 구성과 Spring MVC XML 네임스페이스에서 CORS를 구성하는 대안. 스프링 웹에 의존하는 응용 프로그램이나 javax.servlet에서 CORS 검사를 수행해야하는 보안 제약조건에 유용하다

-