질문 · 답변 목록
질문 해결됨

CORS 와일드카드(*) 그냥 둬도 되나요? 언제 위험해져요?

K
@kev
8시간 전 · 조회 410

Bolt로 간단한 API를 만들었는데, 생성된 코드에 Access-Control-Allow-Origin: * 가 들어 있어요. 일단 잘 돌아가긴 하는데 이대로 둬도 괜찮을까요?

와일드카드(*)가 위험하다는 글은 봤는데, 정확히 어떤 상황에서 문제가 되는지 감이 안 와요. 공개 API면 괜찮은 거 아닌가요?

corsapi
댓글 2

댓글 2

Y
S
@sora7시간 전 베스트 답변

핵심은 credentials(쿠키)와 같이 쓰느냐예요. 읽기 전용 공개 API면 * 도 괜찮습니다. 근데 인증 쿠키/세션을 쓰는 API에 * + credentials:true를 같이 켜면, 어떤 사이트든 로그인된 사용자 대신 API를 호출해 응답을 읽을 수 있어요(CSRF류). 이 경우 허용 도메인을 명시로 고정하세요.

K
@kev6시간 전

아 쿠키 쓰는지가 기준이군요. 제 API는 토큰을 헤더로 받아서 credentials는 안 켰어요. 그래도 도메인 고정하는 게 안전하겠네요. 감사합니다!