CORS 헤더 테스터란?
CORS(Cross-Origin Resource Sharing) 헤더 테스터는 특정 출처에서 보내는 브라우저 요청이 서버의 CORS 설정에 의해 허용되는지 확인하는 도구입니다. CORS는 서버가 리소스에 접근할 수 있는 출처를 지정할 수 있게 해주는 보안 메커니즘으로, 무단 교차 도메인 요청을 방지합니다.
CORS 테스터 사용법
- 요청 출처(요청을 보내는 도메인)를 입력합니다.
- HTTP 메서드와 사용자 지정 헤더를 지정합니다.
- 서버의 CORS 설정(허용 출처, 메서드, 헤더)을 구성합니다.
- “CORS 테스트”를 클릭하면 각 검사의 통과/실패 결과를 확인할 수 있습니다.
핵심 CORS 개념
단순 요청(표준 헤더가 포함된 GET, HEAD, POST)은 사전 요청을 트리거하지 않을 수 있습니다. 비단순 요청은 먼저 OPTIONS 사전 요청을 보냅니다. 서버는 적절한 Access-Control-Allow-* 헤더로 응답해야 합니다. Allow-Origin에 *를 사용하면 모든 출처를 허용하지만 자격 증명은 비활성화됩니다.
자주 묻는 질문
사전 요청(Preflight)이란 무엇인가요?
사전 요청은 비단순 메서드(PUT, DELETE)나 사용자 지정 헤더를 사용할 때 브라우저가 실제 요청 전에 보내는 OPTIONS 요청입니다. 서버는 올바른 CORS 헤더로 응답해야 실제 요청이 진행됩니다.
올바른 출처를 설정했는데도 CORS 요청이 실패하는 이유는 무엇인가요?
일반적인 원인으로는 허용 메서드 누락, 허용 헤더 누락(특히 Authorization과 같은 사용자 지정 헤더), 또는 서버가 OPTIONS 사전 요청을 올바르게 처리하지 않는 경우가 있습니다.