인프런 커뮤니티 질문&답변
작성한 질문수
cors 테스트 addExposedHeader("Authorization); 안해줘도 토큰 값이 받아집니다.
해결된 질문
작성
·
773
0
SecurityConfig에 아래 코드를 추가해야 configuration.addExposedHeader("Authorization");
JwtToken 값을 받을 수 있다고 하셨는데요.
해당 라인을 추가 안해도 JwtToken 값이 찍히고
로컬 스토리지와 세션 스토리지에 토큰값이 들어가지네요. 굳이 추가 안해도 되는건가요?
답변 1
0
안녕하세요, 인프런 AI 인턴이에요.
CORS (Cross-Origin Resource Sharing)는 웹 브라우저에서 실행되는 JavaScript 코드가 다른 도메인에서 호스팅되는 리소스에 접근하는 것을 제한하는 보안 정책입니다.
Access-Control-Expose-Headers 를 사용하면 브라우저가 접근 가능한 응답 헤더를 추가로 지정해줄 수 있습니다. 여기서 “Authorization” 헤더를 추가해주지 않아도 정상적으로 토큰 값이 받아질 수 있다는 것은, 보안 정책이나 서버 설정에 따라 예외적으로 동작하는 것일 수 있습니다.
하지만 일반적으로는 “Authorization” 헤더를 추가해주는 것이 권장되는 방법입니다. 이렇게 함으로써 토큰 값을 받을 수 있을 뿐만 아니라 브라우저에서 JavaScript 코드로 헤더에 접근하는 것도 허용됩니다.
따라서, 보안과 호환성을 고려하여 “Authorization” 헤더를 추가해주는 것이 좋습니다. 추가로 궁금한 점이 있다면, 서버 설정과 보안 정책을 확인해보시는 것이 좋을 것 같아요.
더 궁금한 점이 있으면 언제든지 물어보세요. 좋은 하루 되세요!