일단 위 글 보고 SOP이랑 CORS 정리
- SOP이란..
Same-Origin-Policy
같은 Origin이서만 document를 읽거나 script를 읽을 수 있음
origin? protocol, host, port로 이루어져 있는..(걍 url이라고 이해)
이 정책이 있는 이유?
-> 아래 시나리오를 생각해볼 수 있음
여기서 SOP를 쓴다면 5번에서 유출을 방지할 수 있다
(해커가 넣은 iframe의 origin과 상위 document의 origin이 다르기 때문에)
- 그래서 CORS란?
어쩌다가 다른 origin 통신이 필요할 때 사용하는 기능? 기술?이다
방법은 아래 세 가지 - postMessage
- JSONP
-
CORS HEADER
- Checking if a whitelisted string is found is a bad approach
auth_token을 보여주고 이것을 훔치라고 한다.
안되는디 ㅜㅜ
