원본 간 리소스 공유(CORS) 이해

마지막 업데이트: 2025년 6월 12일
  • 적용 대상:
  • Experience Manager 6.4
  • Experience Manager 6.5

작성 대상:

  • 중간
  • 개발자

Adobe Experience Manager의 원본 간 리소스 공유(CORS)를 사용하면 AEM이 아닌 웹 속성에서도 인증 여부와 관계없이 클라이언트측에서 AEM에 호출하여 콘텐츠를 가져오거나 AEM과 직접 상호 작용할 수 있습니다.

이 문서에 설명된 OSGI 구성은 다음에 적합합니다.

  1. AEM 게시 인스턴스에서의 단일 출처 리소스 공유
  2. AEM 작성자 인스턴스에 대한 CORS 액세스

AEM 게시 인스턴스에서 다중 출처 CORS 액세스가 필요한 경우 이 설명서를 참조하십시오.

Adobe Granite 원본 간 리소스 공유 정책 OSGi 구성

CORS 구성은 AEM의 OSGi 구성 팩토리로 관리되며, 각 정책은 팩토리의 한 인스턴스로 표현됩니다.

  • http://<host>:<port>/system/console/configMgr > Adobe Granite Cross Origin Resource Sharing Policy

Adobe Granite 원본 간 리소스 공유 정책 OSGi 구성

Adobe Granite Cross-Origin Resource Sharing Policy​(com.adobe.granite.cors.impl.CORSPolicyImpl)

정책 선택

정책은 다음을 비교하여 선택됩니다.

  • Origin 요청 헤더와 Allowed Origin
  • 요청 경로와 Allowed Paths

이들 값과 일치하는 첫 번째 정책이 사용됩니다. 일치하는 정책이 없으면 모든 CORS 요청이 거부됩니다.

정책이 전혀 구성되지 않은 경우에는 핸들러가 비활성화되어 있어 CORS 요청에 응답하지 않으므로, 서버의 다른 모듈이 CORS에 응답하지 않는 한 모든 CORS 요청이 사실상 거부됩니다.

정책 속성

허용된 출처

  • "alloworigin" <origin> | *
  • 리소스에 액세스할 수 있는 URI를 지정하는 origin 매개변수 목록입니다. 자격 증명이 없는 요청의 경우 서버는 *를 와일드카드로 지정하여 모든 출처가 리소스에 액세스하도록 허용할 수 있습니다. 그러나 Allow-Origin: *는 브라우저가 CORS가 없으면 기본적으로 엄격히 금지하는 요청을 모든 외부(즉, 공격자) 웹 사이트가 수행할 수 있게 하므로, 운영 환경에서는 절대 권장되지 않습니다.

허용된 출처(정규 표현식)

  • "alloworiginregexp" <regexp>
  • 리소스에 액세스할 수 있는 URI를 지정하는 regexp 정규 표현식 목록입니다. 정규 표현식을 신중하게 작성하지 않으면 의도치 않은 일치가 발생할 수 있으며, 이에 따라 공격자가 정책과 일치하는 사용자 정의 도메인 이름을 사용할 수 있습니다. 다른 정책 속성을 반복적으로 구성해야 하더라도, 일반적으로 alloworigin을 사용하여 각각의 특정 출처 호스트 이름에 대해 별도의 정책을 설정하는 것이 좋습니다. 출처마다 수명 주기와 요구 사항이 다르기 때문에 명확하게 구분된 정책을 적용하는 것이 바람직합니다.