SOP가 브라우저에만 적용된다는 점까지 짚어내는지, 그리고 우회 구조에서 누가 어떤 보안 책임을 지는지 분리해 말할 수 있는지를 가른다.
SOP는 브라우저가 자바스크립트의 교차 출처 접근을 막는 정책이지, 서버 간 HTTP 통신을 막는 정책이 아니다. 그래서 클라이언트와 동일 출처에 프록시 서버를 두고, 그 프록시가 외부 API를 대신 호출해 응답만 클라이언트에 돌려주면 브라우저 입장에서는 끝까지 같은 출처와만 통신한 셈이 된다. 결과적으로 SOP는 우회되지만, 외부 호출의 책임이 브라우저에서 프록시로 옮겨간다.
CORS 오류를 매번 우회하다 결국 BFF를 도입한 경험이 있다면 우회 결정 기준과 엮어서 풀 수 있다
프록시 레이어에서 인증·캐시·재시도 정책을 직접 설계한 경험이 있다면 책임 분리 관점에서 답을 끌고 갈 수 있다
외부 API 장애 때 프록시에서 fallback이나 회로 차단을 붙여본 경험과 한계 부분을 연결할 수 있다
아직 공개된 답변이 없어요. 첫 공개 답변을 남겨보세요.