CORS와 보안 관련 HTTP 헤더

프론트엔드와 API 서버 분리 환경에서 필수적인 CORS 설정과 웹 보안을 위한 주요 HTTP 헤더 설정 방법

동일 출처 정책 (Same-Origin Policy)

웹 브라우저의 보안 정책으로 특정 출처에서 다른 출처의 리소스 접근을 제한
출처는 Protocol, Host, Port의 조합으로 결정

CORS 동작 방식

단순 요청: GET, HEAD, POST 메서드와 기본 헤더만 사용하는 요청
예비 요청: 단순 요청 조건을 벗어나는 경우 OPTIONS 메서드로 먼저 확인
인증 정보 포함 요청: 쿠키, 인증 헤더 등을 포함하며 양쪽 모두 특별한 설정 필요

Django CORS 설정

# django-cors-headers 설치 후 settings.py 설정
INSTALLED_APPS = ['corsheaders']
MIDDLEWARE = ['corsheaders.middleware.CorsMiddleware']

# 허용할 출처 명시 (운영환경에서는 실제 도메인만)
CORS_ALLOWED_ORIGINS = [
    "https://example.com",
    "http://localhost:3000",
]

CORS_ALLOW_CREDENTIALS = True
CORS_ALLOW_METHODS = ["GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS"]
CORS_ALLOW_HEADERS = ["Authorization", "Content-Type", "X-CSRF-Token"]

보안 HTTP 헤더

HSTS (Strict-Transport-Security)

HTTP 연결을 강제로 HTTPS로 전환하여 중간자 공격 방지

SECURE_HSTS_SECONDS = 31536000
SECURE_HSTS_INCLUDE_SUBDOMAINS = True

CSP (Content-Security-Policy)

신뢰할 수 있는 콘텐츠 소스를 지정하여 XSS 공격 방어
django-csp 라이브러리 사용 권장

X-Content-Type-Options

브라우저의 MIME 타입 스니핑 공격 방지

SECURE_CONTENT_TYPE_NOSNIFF = True

X-Frame-Options

다른 사이트의 iframe 내부 렌더링을 막아 Clickjacking 공격 방지

X_FRAME_OPTIONS = 'DENY'

Referrer-Policy

다른 출처로 이동 시 전송되는 Referer 헤더 정보 제어

SECURE_REFERRER_POLICY = 'strict-origin-when-cross-origin'

Previousstructlog로 구축하는 실무형 구조화 로깅 Next프로젝트 시작부터 커스텀 유저 모델로 설계하는 이유와 방법

Last updated 1 month ago

Good night

hashtagCORS (Cross-Origin Resource Sharing)

hashtag동일 출처 정책 (Same-Origin Policy)

hashtagCORS 동작 방식

hashtagDjango CORS 설정

hashtag보안 HTTP 헤더

hashtagHSTS (Strict-Transport-Security)

hashtagCSP (Content-Security-Policy)

hashtagX-Content-Type-Options

hashtagX-Frame-Options

hashtagReferrer-Policy

CORS (Cross-Origin Resource Sharing)

동일 출처 정책 (Same-Origin Policy)

CORS 동작 방식

Django CORS 설정

보안 HTTP 헤더

HSTS (Strict-Transport-Security)

CSP (Content-Security-Policy)

X-Content-Type-Options

X-Frame-Options

Referrer-Policy