1. cors
<정의>
교차 출처 리소스 공유(Cross-Origin Resource Sharing), 브라우저에서 다른 출처의 리소스를 공유하는 방법이다.
구체적으로 적으면, 추가 HTTP 헤더를 사용해서 한 출처에서 실행 중 웹이 다른 출처의 자원에 접근할 수 있는 권한을
부여하도록 브라우저에 알려주는 체제이다.
<동작원리>
CORS는 단순 요청 방법과 예비 요청을 먼저 보내는 방법 두 가지가 있다.
기본적으로 웹은 다른 출처의 리소스를 요청할 때 HTTP 프로토콜을 사용하는데 이 때 브라우저는 요청 헤더에 Origin
필드에 요청을 보내는 출처를 담아 전송한다.
- Simple Request
서버가 요청에 대한 응답을 해주고, Oring에 접근을 허용하여 내려준다. 이후 브라우저는 자신이 보냈던 요청의
Origin과 서버가 보내준 응답의 Access-Control-Allow-Origin을 비교한 후 응답이 유효한지 아닌지 결정한다.
- Preflight Request
서버에 예비 요청을 보내어 안전한지 판단한 후 본 요청을 보낸다. Options 메서드로 서버에 예비 요청을 보내고,
요청에 대한 응답으로 Access-Control-Allow-Origin 헤더를 포함한 응답을 브라우저에 보낸 뒤 브라우저가 위 헤더를
비교하여 수행할지 판단한다.
<URL구조>
프로토콜//호스트:포트(생략가능)/경로?Qurey String=1#Fragment
여기서 마지막 Fragment가 Origin(출처)란이다.
*프로토콜과 호스트와 포트가 같으면 같은 출처이다.
2. csp(content security policy)
<정의>
콘텐츠 보안 정책: 신뢰할 수 있는 웹 페이지 컨텍스트에서 악의적인 콘텐츠 실행으로 인한 크로스 사이트 스크립팅,
클릭 재킹 및 기타 코드 삽입 공격을 방지하기 위해 도입된 컴퓨터 보안 표준이다.
<특징>
1. csp는 웹 사이트가 직접 룰을 적용해서 사용한다.
2. xss 공격을 막기 위해 만들어진 정책이다.
*참고한 사이트
https://beomy.github.io/tech/browser/cors/
https://velog.io/@pilyeooong/CORS%EB%9E%80-%EB%AC%B4%EC%97%87%EC%9D%B8%EA%B0%80
'웹해킹 > 이론' 카테고리의 다른 글
| [Whois] 정보보안교육 - 웹해킹 1주차 (0) | 2021.09.13 |
|---|