chipkkang9's story

[Whois 정보보안교육] CORS, CSP 정리 본문

Hacking/Web

[Whois 정보보안교육] CORS, CSP 정리

chipkkang 2021. 9. 20. 15:50

CORS

CORS는 Cross-Origin Resource Sharing의 약자로, 교차 출처 리소스 공유라는 뜻이다.

 

CORS는 추가 HTTP 헤더를 사용해 한 출처에서 실행 중인

웹 애플리케이션이 다른 출처의 자원에 접근할 수 있는 권한을 부여하도록

브라우저에 알려주는 체제를 말한다.

 

웹 애플리케이션은 리소스가 자신의 출처(도메인, 프로토콜, 포트)와 다를 때

교차 출처 HTTP 요청을 실행한다.

 

CORS 설명 도식화

 

출처 (도메인, 프로토콜, 포트)

서버의 URL들은 마치 하나의 문자열 같아 보여도, 사실은 여러 개의 구성 요소로 이루어져 있다.

 

URL 관련 설명 예시 (출처: Evans Library)

이때 출처는, 서버의 위치를 찾아가기 위한 필요한 가장 기본적인 것들을 합쳐놓은 것이다.

Protocaol과 Host를 포함하여 :80이나 :443과 같은 포트 번호까지 이에 포함된다.

 

 

 

CSP

CSP는 Content Security Policy의 약자로, 콘텐츠 보안 정책이라는 뜻이다.

 

CSP는 신뢰하는 웹 페이지의 콘텍스트에서 악의적인 콘텐츠를 실행하게 하는

사이트 간 스크립팅(Cross-Site Scripting, XSS), 클릭재킹, 그리고 기타 코드 인젝션 공격을

예방하기 위해 도입된 컴퓨터 보안의 표준이다.

 

출처

https://developer.mozilla.org/ko/docs/Web/HTTP/CORS

 

교차 출처 리소스 공유 (CORS) - HTTP | MDN

교차 출처 리소스 공유(Cross-Origin Resource Sharing, CORS)는 추가 HTTP 헤더를 사용하여, 한 출처에서 실행 중인 웹 애플리케이션이 다른 출처의 선택한 자원에 접근할 수 있는 권한을 부여하도록 브라

developer.mozilla.org

https://evan-moon.github.io/2020/05/21/about-cors/

 

CORS는 왜 이렇게 우리를 힘들게 하는걸까?

이번 포스팅에서는 웹 개발자라면 한번쯤은 얻어맞아 봤을 법한 정책에 대한 이야기를 해보려고 한다. 사실 웹 개발을 하다보면 CORS 정책 위반으로 인해 에러가 발생하는 상황은 굉장히 흔해서

evan-moon.github.io

https://ko.wikipedia.org/wiki/%EC%BD%98%ED%85%90%EC%B8%A0_%EB%B3%B4%EC%95%88_%EC%A0%95%EC%B1%85

 

콘텐츠 보안 정책 - 위키백과, 우리 모두의 백과사전

콘텐츠 보안 정책(Content Security Policy, CSP)은 신뢰된 웹 페이지 콘텍스트에서 악의적인 콘텐츠를 실행하게 하는 사이트 간 스크립팅(XSS), 클릭재킹, 그리고 기타 코드 인젝션 공격을 예방하기 위해

ko.wikipedia.org

 

'Hacking > Web' 카테고리의 다른 글

File Vulnerability(LFI, RFI) 파일 취약점  (0) 2022.02.09
Burp Suite를 사용하는 이유  (0) 2022.02.09
[Whois 정보보안교육] Lord of SQLInjection Review  (0) 2021.09.13
[Whois 정보보안교육] REST API의 GET, POST, PUT, DELETE  (0) 2021.09.11
[Whois 정보보안교육] 쿠키, 세션, 세션 쿠키, JWT 공통점과 차이점 정리  (0) 2021.09.11
'Hacking/Web' Related Articles more
Comments