CORS(Cross-Origin Resource Sharing) 

    
크로스 사이트 요청을 방지하기 위해 사용되는 주요 기술 중 하나는 CORS(Cross-Origin Resource Sharing)입니다. CORS는 서버에서 응답 헤더를 설정함으로써, 특정 웹 사이트나 웹 페이지가 해당 서버의 리소스(API 포함)에 접근할 수 있도록 허용하는 기능을 제공합니다.

CORS를 설정하면 서버는 다음과 같은 HTTP 응답 헤더를 포함하여 보냅니다:

```
Access-Control-Allow-Origin: https://example.com
```

위의 예제에서, 서버는 `https://example.com` 도메인에서의 요청만 해당 서버의 리소스에 접근하도록 허용하게 됩니다. 

또한, 여러 도메인을 허용하려면 서버 로직을 구현하여 올바른 `Origin` 헤더를 기반으로 동적으로 `Access-Control-Allow-Origin` 값을 설정할 수 있습니다. 하지만, 보안 상의 이유로 `Access-Control-Allow-Origin` 헤더의 값으로 `*`를 사용하여 모든 웹사이트를 허용하는 것은 주의가 필요합니다.

CORS 설정은 주로 백엔드 서버나 API 서버의 설정에서 수행되며, 사용하는 프레임워크나 서버 종류에 따라 구성 방법이 다를 수 있습니다.

이러한 CORS 정책을 통해, API 사용을 특정 사이트로 한정하는 것이 가능합니다.


CORS(Cross-Origin Resource Sharing)는 웹 브라우저에서 동작하는 보안 메커니즘입니다. CORS는 웹 페이지가 다른 도메인의 리소스에 접근할 수 있도록 허용하는 규칙을 정의합니다. 그러므로, CORS 자체는 모바일 앱과 같은 웹 브라우저 외의 클라이언트에 대한 접근 제한에는 적합하지 않습니다.

특정 앱으로 API 접근을 제한하려면 다른 방법을 사용해야 합니다:

1. **API 키**: 각 앱에 고유한 API 키를 제공하고, 이 키를 사용하여 요청을 인증하도록 서버를 설정합니다. 서버는 유효한 API 키를 가진 요청만 처리하도록 합니다. 그러나 이 방법은 완벽하진 않습니다. 악의적인 사용자가 API 키를 추출하려 할 경우 앱의 바이너리에서 키를 추출하는 것이 가능합니다.

2. **OAuth**: 사용자를 인증하고 특정 앱에 대한 토큰을 발급하는 프로토콜입니다. OAuth를 사용하면 서버는 유효한 토큰을 가진 요청만을 처리합니다.

3. **SSL/Pinning**: 앱과 서버 간의 통신에 SSL을 사용하여 암호화하되, 앱에 서버의 인증서를 포함시키는 방법입니다. 이를 통해, 앱은 특정 서버와만 통신하도록 강제할 수 있습니다.

4. **App Attestation**: 특정 플랫폼에서 제공하는 서비스를 사용하여 앱의 정당성을 검증합니다. 예를 들어, Android SafetyNet Attestation이나 Apple's DeviceCheck와 같은 서비스를 사용하여 앱의 무결성을 검증할 수 있습니다.

최종적으로, 모든 보안 메커니즘이 완벽하진 않기 때문에 다양한 보안 레이어와 전략을 함께 사용하는 것이 좋습니다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

js 스트링에서 요소 갯수 세기

이상하다 https://stackoverflow.com/questions/881085/count-the-number-of-occurrences-of-a-character-in-a-string-in-javascript If you're looking for the commas: (mainStr. split ( "," ). length - 1 ) //3 If you're looking for the str (mainStr. split ( "str" ). length - 1 ) //4   console . log (( "str1,str2,str3,str4" . match ( /,/g ) || []). length ); //logs 3 console . log (( "str1,str2,str3,str4" . match ( new RegExp ( "str" , "g" )) || []). length ); //logs 4
Read more »

STUDY

@GetMapping("/proxy-download") public ResponseEntity<Resource> proxyDownload() {     String sourceUrl = "https://example.com/file-to-download.bin";     ResponseEntity<byte[]> response = restTemplate.exchange(         sourceUrl,         HttpMethod.GET,         null,         byte[].class     );     byte[] fileBytes = response.getBody();     // 👉 원본 Content-Disposition 헤더에서 파일 이름 추출     String disposition = response.getHeaders().getFirst(HttpHeaders.CONTENT_DISPOSITION);     String filename = "default.bin"; // fallback     if (disposition != null && disposition.contains("filename=")) {         // Content-Disposition: attachment; filename="some_file.bin"         filename = disposition.split("filename=")[1].replace("\"", "").trim();     }     HttpHeaders ...
Read more »

javascript cheatsheet

JavaScript 기능들을 정리한 치트시트를 제공합니다. 이 치트시트는 데이터 구조와 알고리즘을 구현하는 데 필요한 기본적인 구문과 기능을 포함하고 있습니다. ## JavaScript Coding Cheat Sheet ### 1. **기본 문법** #### 변수 선언 ```javascript let variable = value;   // 변수 선언 (변경 가능) const constant = value; // 상수 선언 (변경 불가) ``` #### 함수 선언 ```javascript // 함수 선언식 function functionName(params) {   // 함수 내용 } // 함수 표현식 const functionName = function(params) {   // 함수 내용 }; // 화살표 함수 const functionName = (params) => {   // 함수 내용 }; ``` ### 2. **기본 데이터 구조** #### 배열 (Array) ```javascript let arr = [1, 2, 3]; // 배열 길이 console.log(arr.length); // 배열 요소 접근 console.log(arr[0]); // 배열의 끝에 추가 arr.push(4); // 배열의 끝에서 제거 arr.pop(); // 배열의 앞에 추가 arr.unshift(0); // 배열의 앞에서 제거 arr.shift(); ``` #### 객체 (Object) ```javascript let obj = {   key1: 'value1',   key2: 'value2' }; // 속성 접근 console.log(obj.key1); // 속성 추가 또는 변경 obj.key3 = 'value3'; // 속성 제거 delete obj.key2; ``` ### 3. **반복문 및 조건문** #### 반복문 ```javascript // for 반복문 for (let i = 0; i ...
Read more »