kiete1
655
2018-08-07 16:56:19
4
587

CORS API를 제공해주면서 OPTIONS 메소드를 굳이 막는 게 일반적인가요?


CORS가 허용되는 마이크로 서비스 A가 있고,

도메인이 다른 Single Page Application B가 A를 이용하고 있습니다.


그런데 A 서비스 담당자가 특별한 이유없이 OPTIONS 메소드를 막았습니다.

Preflight Request를 할 수 없게됐다고 하니까 굳이 그게 필요하냐고 합니다.


CORS API를 제공해주면서 OPTIONS를 막는 게 일반적인가요?

0
  • 답변 4

  • 즈루시
    2018-08-07 17:15:04

    이론상으론 스펙이라 막으면 안되는데 실무에선 막나보네요

    보안 점검 나오면 메소드 허용 항목때문에 지적이 나오긴하는데...

  • kiete1
    655
    2018-08-07 17:30:51

    막는 게 일반적이냐고 질문한 이유는 지금까지 CORS라면 OPTIONS 허용이 당연시되는 실무 환경만 경험해봐서입니다.

  • 아쉬운날들
    253
    2018-08-07 17:59:44

    무슨이유에서인지 모르지만, 크롬에서 같은 API URL을 GET/POST/PUT/DELETE 같에 OPTION 이 한번더 호출되더군요.  그래서 OPTION부분에 대해서는 SECURITY 인증해제 처리하고 개발하고있습니다.

  • 즈루시
    2018-08-07 20:58:35

    아쉬운날들 // Preflight Request가 님이 말씀하신 기능입니다ㅋ CORS 스펙이에요


    https://www.google.co.kr/search?q=Preflight+Request&rlz=1C1SQJL_koKR775KR775&oq=Preflight+Request&aqs=chrome..69i57&sourceid=chrome&ie=UTF-8

  • 로그인을 하시면 답변을 등록할 수 있습니다.