CORS는 많이 들어봤는데
CORB란것을 '사이트 격리'에 대해 알아보다가
새로 알게 되었다.
참고) 사이트 격리
- It ensures that pages from different websites are always put into different processes.
- It also blocks the process from receiving certain types of sensitive data from other site
즉, Chrome's Site Isolation effectively makes it harder for untrusted websites to access or steal information from your accounts on other websites.
Cross-Origin Read Blocking(CORB)
Cross-Origin Read Blocking (CORB) is an algorithm that can identify and block dubious
cross-origin resource loads in web browsers before they reach the web page.
For example, it will block a cross-origin text/html response requested
from a <script> or <img> tag, replacing it with an empty response instead.
출처 : https://developers.google.com/web/updates/2018/07/site-isolation
즉, 웹에서 cross origin의 data resource(xml, html, json 등)를 읽어와 사용하지 못하도록 브라우저에서 막는 동작이다.
원리
CORB가 어떻게 동작하는지 알아보자.
보통 web client는 서버에 두가지의 요청을 보낸다.
- data resources such as HTML, XML, or JSON documents
- media resources such as images, JavaScript, CSS, or fonts
보통 1번은 SOP & CORS 설정에 따라 브라우저에 의해 blocking 되거나 보이게 된다.
(참고로 2번 media resources들은 cors에 상관없이 요청 가능하다. ex-JSONP)
조건
- the resource has an X-Content-Type-Options: nosniff header
- CORS doesn’t explicitly allow access to the resource
그리고 CORB는 위 조건을 만족한다면
renderer process가 a cross-origin data resource를 받아와 사용하는 것을 금지한다.
(a new security feature that prevents the contents of balance.json from ever entering the memory of the renderer process memory based on its MIME type.)
참고)
X-Content-Type-Options: nosniff는 Microsoft에서 제안하는 확장 헤더이며 웹서버가 보내는 MIME 형식 이외의 형식으로 해석을 확장하는 것을 제한하는 크로스사이트스크립트 방어법이다.
즉, nosniff 옵션이 켜있다면 브라우저는 이게 HTML, XML, JSON중 하나인것으로 Content-type 종류로 인하여 헷갈리지 않고 바로 확정 지을 수 있다.
(가끔 어떤 서버는 이미지에 대해 text/html로 잘못 분류하기도 한다. 이걸 방지 가능)
이점
CORB를 사용하면 다음과 같은 이점이 있다.
- Mark responses with the correct Content-Type header.
- out of sniffing by using the X-Content-Type-Options: nosniff header.
- 보안! (In browsers with Site Isolation, it can keep such data out of untrusted renderer processes entirely, helping even against side channel attacks like Spectre)
예시
그럼 예시 데모를 한번 보자.
https://anforowicz.github.io/xsdb-demo/index.html
CORB demo
Demo of CORB This page demonstrates how Cross-Origin Read Blocking (CORB) works. Please see one of the following resources for more information about CORB: Repro steps to trigger CORB: Make sure that CORB is active In Chrome M68 and later CORB is active by
anforowicz.github.io
<button> Add 1 <img src="https://www.chromium.org/"> </button>
<button> Add 2 <img src="https://www.w3.org/.../dummy.pdf"> </button>
들어가서 버튼을 한번 눌러보면
CORB 차단이 뜬다.
위 버튼들은 data resource(text/html, application/pdf) 요청을 cross-origin 서버에 보내는 버튼들이고, CORB에 의해 막히게 된다.
그리고 CORS와 동일하게 정상적인 요청이 왔어도 (status 200) 브라우저에서 막도록 구현된 것을 확인할수 있다.
tmi)
현재 tistory 스킨에서 영어를 읽으려니 눈이 아프다 -_-;
함께 읽으면 좋은 글)
CORS
https://beomy.github.io/tech/browser/cors/
[Browser] CORS란?
이번 포스트에서는 교차 출처 리소스 공유(Cross-Origin Resource Sharing, CORS)에 대해 이야기해보도록 하겠습니다. 아래 사진과 같은 에러를 보신 적이 있으셨을 수도 있습니다.
beomy.github.io
reference
https://chromestatus.com/feature/5629709824032768
https://stackoverflow.com/questions/18337630/what-is-x-content-type-options-nosniff
https://webhack.dynu.net/?idx=20161120.001&print=friendly
https://bingbingba.tistory.com/8
https://developers.google.com/web/updates/2018/07/site-isolation
Site Isolation for web developers | Web | Google Developers
Chrome 67 on desktop has a new feature called Site Isolation* enabled by default. This article explains what Site Isolation is all about, why it’s necessary, and why web developers should be aware of it.
developers.google.com
'Front-end > 브라우저' 카테고리의 다른 글
| 크롬 브라우저의 이벤트 핸들링 처리 (0) | 2022.02.01 |
|---|---|
| 브라우저의 렌더링 과정 (feat GPU) (0) | 2022.01.30 |
| [운영체제] 크롬 웹 브라우저의 구조 (프로세스 & 쓰레드) (0) | 2022.01.30 |