1. 동일 출처 보안 정책(Same-origin policy)이란? 왜 존재하는지?
2. CORS는 왜 생겼고 어떻게 동작하는지?

Cross-origin resource sharing (교차 출처 자원 공유)

웹페이지의 제한된 리소스를 최초 자원이 서비스된 도메인 밖의 다른 도메인으로부터 요청할 수 있게 허용하는 구조.

(하이퍼링크말고, 동일한 도메인 안에서 유튜브를 실행시켜서 영상이 재생된다면 이건 cors를 실행한것인가? → 임베딩은 크로스 오리진 사이에 기본적으로 가능)

일반적으로 도메인간의 요청 (특히, Ajax요청)은 동일 출처 보안 정책에 의해 기본적으로 금지된다.

• Ajax (Asynchronous JavaScript and XML, 에이잭스)

CORS는 이러한 도메인간의 요청, 교차 출처 요청을 허용하는 것이 안전한지 아닌지를 판별하기 위해 브라우저와 서버가 상호 통신하는 하나의 방법을 정의한다.

일반적인 상황에서 도메인 간의 자원 요청은 보안상의 이유로 금지가 되어있는데, 세상이 발전하다 보니까 서로 다른 도메인간에 리소스를 공유할 필요하가 생기게 되었고 (예를 들면, 많은 API 공유 사용 등등..) 이를 안전하게 허용하기 위한 추가 HTTP헤더를 사용하는 기술적인 방법이 CORS이다.

Cross-origin network access

• Cross-origin writes는 일반적으로 가능
• Cross-origin embedding은 일반적으로 가능
  • <script src=""></script>
  • CSS:<link rel="stylesheet" href"...">
  • <img>, <video>, <audio>
  • <object>, <embed>
  • @font-face
  • <iframe>
• Cross-origin reads는 일반적으로 불가능
  • 요청이 왔을 때, 허용할 origin만을 "Access-Control-Allow-Origin" 헤더에 추가

CORS

• SOP에 의해 다른 Origin에 요청한 것들은 기본적으로 차단.