웹 보안에서 CORS 설정 시 Access-Control-Allow-Origin: *의 위험성은?

Q: 웹 보안에서 CORS 설정 시 Access-Control-Allow-Origin: *의 위험성은?

모든 출처(origin)의 요청을 허용하여 민감한 API가 악의적 사이트에서도 접근 가능해질 수 있다 Access-Control-Allow-Origin: *는 모든 도메인에서의 요청을 허용합니다. 공개 API에는 적합하지만, 인증이 필요한 API에 설정하면 악의적 사이트에서 사용자 대신 요청을 보낼 수 있습니다. 민감한 API에는 특정 출처만 허용하고, credentials 포함 요청에는 *를 사용할 수 없습니다.

보통 MDN Web Docs

보기 및 정답

A 모든 출처(origin)의 요청을 허용하여 민감한 API가 악의적 사이트에서도 접근 가능해질 수 있다

B 모든 출처의 요청을 허용하면 서버의 CPU와 메모리 자원이 과도하게 소비되어 전체적인 서비스 성능이 저하된다

C HTTPS 프로토콜이 비활성화되어 암호화되지 않은 HTTP로 모든 데이터가 평문으로 전송된다

D 브라우저에 저장된 쿠키가 자동으로 삭제되어 사용자의 로그인 세션이 유지되지 않는다

해설

Access-Control-Allow-Origin: *는 모든 도메인에서의 요청을 허용합니다. 공개 API에는 적합하지만, 인증이 필요한 API에 설정하면 악의적 사이트에서 사용자 대신 요청을 보낼 수 있습니다. 민감한 API에는 특정 출처만 허용하고, credentials 포함 요청에는 *를 사용할 수 없습니다.

코딩, 제대로 배우고 싶다면?

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

정규반 살펴보기

로그인

추가 정보 입력

회원가입

비밀번호 찾기

웹 보안에서 CORS 설정 시 Access-Control-Allow-Origin: *의 위험성은?

해설

코딩, 제대로 배우고 싶다면?

관련 문제

모두를 위한 진짜 쎈 바이브코딩