CORS와 Preflight의 개념에 대해 설명해주세요.

Q1. CORS란 무엇인가요?
CORS(Cross-Origin Resource Sharing)는 다른 출처(도메인, 프로토콜, 포트) 간 리소스 공유를 허용하는 메커니즘입니다. SOP 정책으로 차단된 교차 출처 요청을 서버의 CORS 헤더 설정을 통해 허용할 수 있으며, 미설정 시 브라우저에서 CORS 에러가 발생합니다.

---

Q2. SOP가 무엇이며 왜 필요한가요?
SOP(Same-Origin Policy)는 동일 출처(프로토콜, 도메인, 포트 일치)의 리소스만 접근 가능하도록 제한하는 보안 정책입니다. 타 도메인의 리소스 무단 접근을 방지해 XSS, CSRF 등의 보안 취약점을 예방합니다.

---

Q3. SOP가 없으면 발생할 수 있는 취약점은?
쿠키의 세션 ID 탈취로 인한 XSS, CSRF 공격이 가능해집니다. SOP는 타 출처의 리소스 접근을 차단해 이러한 공격을 원천 차단합니다.

---

Q4. CORS 동작 원리를 설명하세요

1. 서버는 Access-Control-Allow-Origin 등의 헤더로 허용 출처, 메서드, 헤더를 명시합니다.
2. 브라우저는 요청 전헤더를 검증해 차단 또는 허용합니다.
3. 복잡한 요청(예: PUT, 사용자 정의 헤더)은 Preflight 요청으로 사전 승인을 받습니다.

---

Q5. Preflight 요청이란?
실제 요청 전 서버의 CORS 정책을 확인하는 OPTIONS 메서드 사전 요청입니다. 서버가 허용하지 않는 메서드/헤더를 사용할 경우, 본 요청을 차단해 불필요한 트래픽을 줄입니다.

---

Q6. 모든 CORS 요청에 Preflight가 발생하나요?
아닙니다. 다음 경우엔 Preflight가 생략됩니다:

• 단순 요청: GET, HEAD, POST + 특정 헤더(예: Content-Type: text/plain)만 사용 시
• 캐싱: 이전 Preflight 응답이 Access-Control-Max-Age 기간 내에 캐시된 경우

---

Q7. 단순 요청의 조건은?

1. 메서드: GET, HEAD, POST 중 하나
2. 헤더: Accept, Accept-Language, Content-Language, Content-Type(값: application/x-www-form-urlencoded, multipart/form-data, text/plain)
3. 사용자 정의 헤더 미사용