XETOWN

분수 광장

특정한 주제 없이 자유로운 이야기를 나눌 수 있습니다.
조회 수 66 추천 수 0 댓글 6
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
Extra Form

AJAX로 다른 도메인에서 컨텐츠를 불러오려고 하면 CORS 때문에 안되는게 대부분이잖아요.

그 도메인이 자신이 보유한 것이라면 헤더 설정만 하면 가능하겠지만..

그렇지 못할 경우, 다른 방법을 찾아야 하는데, 그 방법을 제공하는 API를 만들어 보았습니다.

 

http://porting.kr/api_cors

(굳이 표현하자면 API겠지만... 딱히 특별한 기능은 없어요)

 

한번씩 귀찮을 때 사용하려고 만들었습니다만...

생각해보니 보안상으로 문제가 있을수도 있겠다 싶더라구요.

 

cURL을 통해서 데이터를 불러 온 후, 바로 echo로 출력하는 방식인데..

이 방식을 사용하면 어떤 문제가 일어날 수 있을까요?

  • ?
    misol 2016.12.07 00:51:14
    porting.kr 서버와 클라이언트 사이의 통신이 보안 통신 (https)으로 할 수 있다면 더 좋을 것 같습니다.
    porting.kr 서버가 내용을 가로챌 가능성을 어떻게 배제할 수 있을지.
    대용량 파일을 불러오도록 요청해서 DDOS 공격과 유사한 상황을 만들 수 있습니다.
  • profile
    레믹스 2016.12.07 08:14:03
    그렇군요. 보안통신은 설정이 필요할 것 같네요.
    조언 감사합니다!
  • ?
    비스틴 2016.12.07 00:53:24
    원래 도메인 제한이 있는게 사용자의 동의 없이 외부 사이트로 리퀘스트를 보내는걸 막게 하기 위함이에요. 예를 들어 웹사이트 접속자가 네이버에 로그인이 되어 있다면 네이버에 리퀘스트를 보내서 로그인한 사용자 정보를 받아 온다거나...

    서버를 통하는 이상 실제 리퀘스트를 보내는건 단일 서버고 쿠키 등도 전달 시키지 않으니 보안상 크게 문제될 건 없을 것 같네요.다만 레믹스님의 서버가 프록시 역할을 하게 되는거나 마찬가지이기 때문에 다른 열린 프록시 서버나 마찬가지로 악용될 여지는 충분히 있어 보여요.
  • profile
    레믹스 2016.12.07 08:13:30
    그렇죠.. 그것 때문에 CORS가 방지되어 있는건 알고 있습니다.
    덕분에 클라이언트 단에서 바로 외부페이지 크롤링(?)이 매우 힘들어지더군요ㅠㅠ

    쿠키 데이터 보존도 추가할 예정이었는데, 그건 보류해 두어야겠네요.
  • profile
    YJSoft 2016.12.07 07:23:11
    아주 큰 파일을 대량 요청함으로 운영하시는 API 서버에 과부하를 유발시키거나, 역으로 특정 서버 대상으로 API 요청을 대량으로 해서 특정 서버를 마비시킬수도 있습니다(DoS 공격)

    물론 후자의 경우에도 서버가 한대뿐이니 공격의 효과는 미미하겠습니다만, 적어도 공격자 IP는 운영하시는 서버 아이피로 찍히게 될테니 문제가 될 소지는 있을 것으로 보입니다.

    계속 운영하신다면 특정 아이피 대역에서만 사용을 허가하는 식으로 비공개적으로 운영하시는것이 좋을것 같습니다.
  • profile
    레믹스 2016.12.07 08:10:57
    음... API Key를 통해 트래픽을 제한하는 방법을 사용해도 될 것 같네요!
    조언 감사합니다!

List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
4318 자유 탄핵이 가결되었네요. 6 아파치 2016.12.09 142
4317 하소연 CPU 쿨러 때문에 짜증이.... 5 아파치 2016.12.09 97
4316 자유 p에 클래스가 적용됩니다. 10 file exus 2016.12.08 153
4315 자유 비트디펜더 무료버전도 쓸만한가요? 6 기븐 2016.12.08 128
4314 자유 혹시 이사이트는 무엇으로 제작된걸까요? 3 Sh 2016.12.08 187
4313 자유 두가지를 동시에 15 file 제이엔지 2016.12.08 158
4312 자유 이제 css를 합칠 필요가 없는 걸까요?? 13 웹지기 2016.12.08 148
4311 하소연 오늘 검사 조사 받으러 검찰에 가야하네요 6 이온디 2016.12.08 256
4310 자유 사이트속도좀 봐주세용!! 222 9 희스깅 2016.12.07 143
4309 자유 구글 크롬과 네이버 웨일 9 file 제이엔지 2016.12.07 172
4308 자유 요즘 날이 많이 추워졌네요 3 라바1337 2016.12.07 51
4307 자유 안녕하세요 가입했습니다. 3 ejn 2016.12.07 27
4306 자유 cond 조건문을 써야 하나 다시 if로 돌아가야 할지... 7 DoorWeb 2016.12.07 97
4305 자유 안녕하세요 지금 막 새로 가입 했습니다. 4 비스틴 2016.12.07 43
» 자유 이런 API는 어떤 문제가 일어날 수 있을까요? 6 레믹스 2016.12.06 66
4303 자유 안녕하세요~ 가입했어요! 8 레믹스 2016.12.06 60
4302 자유 간단한 음악(?) 게시판을 만들고 있습니다. 2 file exus 2016.12.06 233
4301 자랑해요 최근 개발한 스티커 모듈 23 file 후하니 2016.12.05 565
4300 자랑해요 CPU 쿨러.... 13 file 아파치 2016.12.05 178
4299 자유 크흡.. 벌써 레벨 4가 되었습니다. 18 다이오니 2016.12.04 113
Board Pagination Prev 1 ... 12 13 14 15 16 17 18 19 20 21 ... 232 Next
/ 232
위로
서버에 요청 중입니다. 잠시만 기다려 주십시오...