RESTful API 개발에 대해 자세히 알아보고 있으며 지금까지 몇 가지 다른 프레임 워크를 사용하여이를 달성했습니다. 물론 동일한 출처 정책에 부딪 쳤으며 이제는 웹 브라우저가 아닌 웹 서버가 어떻게 정책을 시행하는지 궁금합니다. 내가 이해 한 바에 따르면 브라우저 끝에서 일부 시행이 발생하는 것 같습니다 (예 : 서버에서받은 Access-Control-Allow-Origin 헤더를 존중). 그러나 서버는 어떻습니까?
예를 들어, 웹 서버가 해당 서버에서 호스팅되는 API에 액세스하는 Javascript 웹 앱을 호스팅한다고 가정 해 보겠습니다. 서버가 동일한 출처 정책을 시행한다고 가정하여 해당 서버에서 호스팅되는 자바 스크립트 만 API에 액세스 할 수 있도록합니다. 이렇게하면 다른 사람이 해당 API에 대한 자바 스크립트 클라이언트를 작성하여 다른 사이트에서 호스팅하지 못하게됩니다. 그렇다면 웹 서버는 동일한 웹 서버에서 생성 된 자바 스크립트를 실행한다고 주장하면서 API 엔드 포인트에 AJAX 요청을 시도하는 악의적 인 클라이언트를 어떻게 막을 수 있을까요? 가장 인기있는 서버 (Apache, nginx)가 이러한 종류의 공격으로부터 보호하는 방법은 무엇입니까? 아니면이 점에 대한 나의 이해가 어떻게 든 표식에서 벗어 납니까?
아니면 교차 출처 정책이 클라이언트 쪽에서 만 시행됩니까?