기본 콘텐츠로 건너뛰기

자바스크립트 보안 정책 바로알기

자바스크립트 보안 정책 바로알기!

Same Origin Policy

웹 리퀘스트 자신이 포함된 문서와 출처가 동일한 문서나 창의 프로퍼티만 읽을 수 있다.
출처 = 프로토콜 + 호스트 + 포트

Cross Domain

전제조건

결     론

서버의 도메인, 정확히 말하면 위에서 언급한 출처가 다를 경우 cross-domain 문제가 발생한다. 이러한 cross-domain은 서버 공격 및 보안 취약성을 갖게 되므로 서로 신뢰할 수 있는 경우에만 이를 허용하는 서비스를 구축하는 것이 일반적이다.

Cross Domain 제약 극복 방법

Cross domain proxy

클라이언트는 서버의 API를 호출하고 웹 서버가 실제 호출하려는 원격 서버의 API를 호출하는 방법입니다. 그리고 그 결과를 클라이언트에 돌려줍니다. Proxy 방법은 호출하는 전체 생명주기를 제어할 수 있습니다.
클라이언트에게 반환하기 전 뭔가 처리할 게 있으면 원격 서버에서 받은 데이터를 변환, 가공할 수도 있습니다.

Cross domain JSON

원격서버가 지원해야지만 사용할 수 있는 방법입니다. 원격서버는 Callback 함수 성격의 추가 파라미터를 받습니다. 원격 URL을 지정할 수 있게 클라이언트에 스크립트 태그를 넣어야 합니다. 요청에 지정한 callback 함수와 그 파라미터로 JSON 객체가 응답으로 옵니다. 서버에 어떤 작업을 하지 않아도 웹서비스 호출을 구현할 수 있다는 점입니다.
(참고) Jason Levitt가 XML.com에 쓴 “JSON and the Dynamic Script Tag”
(참고) 원리를 알고 싶으면 “Cross domain JSON 원리”를 참조하세요.

Sub-domain

다양한 서버를 운영하면서 www.ryanjin.net과 blog.ryanjin.net과 같이 서버의 도메인을 운영하게 됩니다. 내부적으로 보면 같은 회사, 같은 서버룸, 같은 아파치 웹서버를 쓰고 있습니다. 그래서 개발자에게는 동일한 것으로 보입니다. 그러나 호스트명이 다르기 때문에 JavaScript(Ajax)는 이것을 다른 도메인(출처)으로 봅니다. 따라서 이런 동일 서버에게 ajax 호출을 하려면 요청에 도메인을 넣지 말고 URL 경로만 사용해야 합니다.


댓글

댓글 쓰기

이 블로그의 인기 게시물

REST Web Service에서 Projection 기능 활용

REST Web Service에서 Projection을 이용한 웹 인터페이스 유연성 확보하기. Projection 기능이란?   프로젝터와 같이 실제하는 물체를 보고 싶은 형태로 볼 수 있게 도와주는 기능을 말한다. 좀 더 쉽게 말하면 실제하는 물체란 필름을 말하는 것이고, 보고 싶은 형태란 70인치 화면으로 보여주는 것을 말한다. 설정에 따라 30인치 화면으로 볼 수도 있다.   즉, Projection 기능이 있다면 상황에 맞는 화면 크기로 보여 줄 수 있는 것이다. [프로젝터] 웹 인터페이스 설계의 어려움   웹서버를 개발하는 개발자 입장에서 하나의 인터페이스라도 만드는 일은 쉽지 않다. 그렇기 때문에 웹 인터페이스의 개수를 줄이려고 노력하는 것이 일반적이다. 그러기 위해서는 좀 더 일반적인(General) 형태의 인터페이스로 설계하는 수밖에 없다. 그러나 아이러니하게도 사용자(인터페이스를 사용하는 다른 개발자) 입장에서는 이런 일반적인 인터페이스를 쓰기란 여간 어려운게 아니다. 클라이언트마다 필요한 데이터가 다르다.  REST 웹서비스에서는 리소스에 해당하는 데이터를 다음과 같이 JSON 형식의 Response로 전달해준다. 예를 들어 다음과 같이 상품 정보를 보내주는 RESR API가 있다고 해보자. GET /api/furniture/item/123334333 위의 REST API를 이용하여 다음과 같은 데이터를 받을 수 있다. { "item_id" : 1233343333 , "name" : "chair" , "category" : "furniture" , "price" : 56000 , "seller" : "Makers" , "description" : "Goo
댓글 쓰기
자세한 내용 보기

AWS ELB 504 Error

AWS EC2  운영 중 가끔씩 볼 수 있는 에러가 있습니다. 대표적으로 다음의 세가지 502, 503, 504 입니다. 이 중에서 이번에 알아볼 문제는 HTTP 504 에러입니다 .  타임 아웃이 되어   Request 를 처리하지 못하는 상황이 됩니다 .   해결 방법부터 이야기 하자면 다음과 같이 웹서버의 Time-out 시간을 60 초 이상으로 늘리는 것입니다 . Web Server & Application Time-out >= 60 sec 그 이유는 다음과 같은 ELB의 특성 때문입니다. ELB는 클라이언트와 EC2 서버 양쪽으로 커넥션을 유지하고 있습니다. ELB는 클라이언트와  EC2 서버간의 커넥션을 관리하는 역할을 맡고 있습니다. 그래서 유효한 커넥션만을 남겨놓습니다. 이를 위해서 Time-out 시간을 가지고 이 시간동안 데이터가 송수신되지 않으면 연결을 끊습니다.  기본적으로 Elastic Load Balancing는 두 연결 모두에 대해 Time-out(유휴 시간) 시간을 60초로 되어 있습니다. 그렇기 때문에 HTTP 또는 HTTPS를 사용할 경우 "KeppAlive" 옵션을 사용하여 커넥션을 재활용해야 합니다. 이 때  ELB 커넥션도 재사용되기 때문에 CPU 사용률을 줄일 수 있습니다. Browser Time-out Opera 11.11 120 sec IE 9 60 sec Chrome 13 300 sec FireFox 4 115 sec 서버 로직 중에서 60초 이상 실행될 수 있는 부분이 있는 경우 504 에러를 자주 볼 수 있을 것입니다. 문제 해결을 위해서는 Web Server는 물론  Tomcat 설정 또한 60초 이상으로 변경해주어야 합니다.
댓글 쓰기
자세한 내용 보기

DrJava 설치 방법

  보통 Java를 사용하여 프로젝트를 만들때, Eclipse라는 IDE(Integrated Development Environment)를 사용합니다. 그러나 Java를 처음 배우려는 사람들에게 복잡한 프로젝트까지 커버할 수 있는 Eclipse는 다양한 환경 설정, 복잡한 UI가 어렵게 느껴질 수 있습니다. 이런 사람들을 위해서  DrJava를 추천합니다.   DrJava 란?    LIDE(Lightweight IDE)라고 할 수 있습니다. 기본적으로 자바를 학습하려는 사람들을 위해  디자인되었습니다. 직관적인 인터페이스를 제공하고, line by line으로 자바 코드를 실행할 수 있는 interactive console을 제공합니다. 설치 순서 1. jdk 설치 2. DrJava 설치   2-1.   http://drjava.sourceforge.net 사이트에 접속   2-2. Current Stable Release 에서 본인의 환경에 맞는 App 다운로드   2-3. 만약 다음과 같은 경고창을 보았을 경우 java jdk나 jre가 제대로 설치 되었는지 확인 3. 설치 완료 후 실행 4. 다음과 같이  DrJava가 실행된다.
댓글 쓰기
자세한 내용 보기