[리뷰] WEB Server(CORS,SOP)

CORS를 알려면 SOP에 대해 알아야한다

SOP(Same-Origin Policy)의 줄임말로, 동일 출처 정책을 뜻한다.

'같은 출처의 리소스만 공유가 가능하다', 여기서 '출처(Origin)'은 프로토콜,호스트,포트의 조합으로 되어있다.

SOP가 생겨난 이유는, 잠재적으로 해로울 수 있는 문서를 분리함으로써 공격받을 수 있는 경로를 줄여준다.

SOP은 애초에 다른 사이트와의 리소스 공유를 제한하기 때문에 로그인 정보가 타 사이트의 코드에 의해서 새어나가는 것을 방지할 수 있다. 이런 보안상 이점 때문에 SOP은 모든 브라우저에서 기본적으로 사용하고 있는 정책이다.

 

하지만 다른 출처의 리소스를 사용하게 될 일이 너무나도 많다. 당장 로컬 환경에서 개발을 할 때에도 클라이언트와 서버를 따로 개발하게 된다면 둘은 출처가 달라지게 된다. 개발중인 웹 사이트에서 오픈api를 사용하려고 해도 출처가 다르기 때문에 사용하지 못한다.

 

다른 출처의 리소스를 받아오기 위해 CORS가 필요하다.

---

CORS(Cross-Origin Resource Sharing) 교차 출처 리소스 공유

SOP에 의해서 기본적으로 다른 출처의 리소스 공유를 막지만, CORS를 사용하면 접근 권한을 얻을 수 있게 된다.

 

다른 출처의 리소스를 가져오려고하려면 SOP 때문에 접근이 불가능하지만, CORS 설정을 통해 서버의 응답 헤더에 ‘Access-Control-Allow-Origin’을 작성하면 접근 권한을 얻을 수 있다.

 

---

CORS 동작방식

1. 프리플라이트 요청(Preflight Request)

실제 요청을 보내기 전, OPTIONS 메서드로 사전 요청을 보내 해당 출처 리소스에 접근 권한이 있는지부터 확인하는 것이다.

그러기 때문에 권한이 없는 요청을 미리 거를 수 있으므로 리소스 측면에서 효율적이다.

 

2. 단순요청(Simple Request)

특정 조건이 만족되면 프리플라이트 요청을 생략하고 요청을 보내는 것이다. 

조건은 다음과 같지만 이 조건들을 모두 만족시키기는 어려우므로 일단은 알고만있자.

• GET, HEAD, POST 요청 중 하나여야 한다
• 자동으로 설정되는 헤더 외에, Accept, Accept-Language, Content-Language, Content-Type 헤더의 값만 수동으로 설정할 수 있다.
  • Content-Type 헤더에는 application/x-www-form-urlencoded, multipart/form-data, text/plain 값만 허용된다.

3. 인증정보를 포함한 요청(Credentialed Request)

요청 헤더에 인증 정보를 담아 보내는 요청이다. 출처가 다를 경우 별도의 설정을 하지 않으면 쿠키를 보낼 수 없다. 민감한 정보이기 때문이다. 이 경우에는 프론트, 서버 양측 모두 CORS 설정이 필요하다

• 프론트 측에서는 요청 헤더에 withCredentials : true 를 넣어줘야 한다
• 서버 측에서는 응답 헤더에 Access-Control-Allow-Credentials : true 를 넣어줘야 한다
• 서버 측에서 Access-Control-Allow-Origin 을 설정할 때, 모든 출처를 허용한다는 뜻의 와일드카드(*)로 설정하면 에러가 발생한다. 인증 정보를 다루는 만큼 출처를 정확하게 설정해주어야 한다

---

CORS 설정 방법

1. Node.js서버

// Node.js로 간단한 HTTP 서버를 만들 경우, 다음과 같이 응답 헤더를 설정해줄 수 있다.
const http = require('http');

const server = http.createServer((request, response) => {
// 모든 도메인
  response.setHeader("Access-Control-Allow-Origin", "*");

// 특정 도메인
  response.setHeader("Access-Control-Allow-Origin", "https://codestates.com");

// 인증 정보를 포함한 요청을 받을 경우
  response.setHeader("Access-Control-Allow-Credentials", "true");
})

2. Express 서버

// Express 프레임워크를 사용해서 서버를 만드는 경우에는, cors 미들웨어를 사용해서 보다 더 간단하게 CORS 설정을 해줄 수 있다.
const cors = require("cors");
const app = express();

//모든 도메인
app.use(cors());

//특정 도메인
const options = {
  origin: "https://codestates.com", // 접근 권한을 부여하는 도메인
  credentials: true, // 응답 헤더에 Access-Control-Allow-Credentials 추가
  optionsSuccessStatus: 200, // 응답 상태 200으로 설정
};

app.use(cors(options));

//특정 요청
app.get("/example/:id", cors(), function (req, res, next) {
  res.json({ msg: "example" });
});

Express

1. Expres 설치

npm install express

2. 간단한 웹 서버 만들기

const express = require('express')
const app = express()
const port = 3000

app.get('/', (req, res) => {
  res.send('Hello World!')
})

app.listen(port, () => {
  console.log(`Example app listening on port ${port}`)
})

3. 라우팅: 메서드와 url에 따라 분기(Routing)하기

메서드와 url( /lower, /upper 등)로 분기점을 만드는 것을 라우팅이라고 한다.

클라이언트는 특정한 HTTP 요청 메서드 (GET, POST, PATCH, DELETE 등) 와 함께 서버의 특정 URI(경로)로 HTTP 요청을 보낸다. 라우팅은 클라이언트의 요청에 해당하는 Endpoint에 따라 서버가 응답하는 방법을 결정하는 것이다.

 

// 추가적인 라이브러리를 사용하지 않고, 순수한 Node.js로 코드 작성
const requestHandler = (req, res) => {
  if(req.url === '/lower') {
    if (req.method === 'GET') {
      res.end(data)
    } else if (req.method === 'POST') {
      req.on('data', (req, res) => {
        // do something ...
      })
    }
  }
}

// Express 프레임워크 자체 라우터 기능 사용
const router = express.Router()

router.get('/lower', (req, res) => {
  res.send(data);
})

router.post('/lower', (req, res) => {
  // do something
})

자주 사용하는 미들웨어

미들웨어를 사용하는 상황은 다음과 같다.

1. POST 요청 등에 포함된 body(payload)를 구조화할 때(쉽게 얻어내고자 할 때)
2. 모든 요청/응답에 CORS 헤더를 붙여야 할 때
3. 모든 요청에 대해 url이나 메서드를 확인할 때
4. 요청 헤더에 사용자 인증 정보가 담겨있는지 확인할 때

1. POST 요청 등에 포함된 body(payload)를 구조화할 때(쉽게 얻어내고자 할 때)

Node.js로 HTTP body(payload)를 받을 때에는 Buffer를 조합해서 다소 복잡한 방식으로 body를 얻을 수 있다.

네트워크 상의 chunk를 합치고, buffer를 문자열로 변환하는 작업이 필요하다.

let body = [];
request.on('data', (chunk) => {
  body.push(chunk);
}).on('end', () => {
  body = Buffer.concat(body).toString();
  // body 변수에는 문자열 형태로 payload가 담겨져 있다.
});

body-parser 미들웨어를 사용하면 이 과정을 간단하게 처리할 수 있다.

npm install body-parser // 설치

const bodyParser = require('body-parser');
const jsonParser = bodyParser.json();

// 생략
app.post('/users', jsonParser, function (req, res) {

})

Express v4.16.0 부터는 body-parser를 따로 설치 하지 않고, Express 내장 미들웨어인 express.json()을 사용한다.

const jsonParser = express.json({stric: flase});

// 생략
app.post('/api/users', jsonParser, function (req, res) {

})

2. 모든 요청/응답에 CORS 헤더를 붙여야 할 때

cors 미들웨어를 사용하면 이 과정을 간단하게 처리할 수 있다.

npm install cors // 설치

// 모든 요청에 대해 cors허용
const cors = require('cors');
//생략
app.use(cors());


// 특정 요청에 대해 cors 허용
const cors = require('cors');
// 생략
app.get('/products/:id', cors(), function (req, res, next) {
  res.json({msg: 'This is CORS-enabled for a Single Route'})
})

3. 모든 요청에 대해 url이나 메서드를 확인할 때

디버깅에서 사용할 수 있음.

// 모든 요청에 대해 LOGGED가 출력됨.
const express = require('express');
const app = express();

const myLogger = function (req, res, next) {
  console.log('LOGGED');
  next();
};

app.use(myLogger);

app.get('/', function (req, res) {
  res.send('Hello World!');
});

app.listen(3000);

4. 요청 헤더에 사용자 인증 정보가 담겨있는지 확인할 때

HTTP 요청에 토큰이 있는지 판단하여, 이미 로그인한 사용자일 경우 성공, 아닐 경우 에러를 보내는 미들웨어

app.use((req, res, next) => {
  // 토큰이 있는지 확인, 없으면 받아줄 수 없음.
  if(req.headers.token){
    req.isLoggedIn = true;
    next();
  } else {
    res.status(400).send('invalid user')
  }
})