rails Origin 체크 비활성

rails new backend --api 명령어를 사용하여 Rails API 서버를 생성할 때는 기본적으로 Rails.application.config.action_controller.forgery_protection_origin_check = false 설정이 적용됩니다. 이는 Rails API 애플리케이션에서는 일반적으로 CSRF(Cross-Site Request Forgery) 보호 기능을 필요로 하지 않기 때문에 Origin 체크를 비활성화하는 것입니다.

기본적으로 Rails는 CSRF 공격을 방지하기 위해 요청이 올바른 Origin에서 왔는지 확인합니다. 이를 통해 다른 도메인에서 악의적인 요청을 보내는 CSRF 공격을 막습니다. 하지만 API 서버에서는 다른 도메인에서 요청을 받아야 할 수 있기 때문에 이 설정을 비활성화하여 Origin 체크를 생략할 수 있습니다.

따라서 설정 파일에 다음과 같이 추가하여 CSRF 보호에서 Origin 체크를 비활성화할 수 있습니다:

# config/application.rb

Rails.application.config.action_controller.forgery_protection_origin_check = false

이 설정을 추가하면, Rails는 CSRF 토큰 검증을 수행하면서 Origin 체크를 생략하게 됩니다. 이는 API 서버에서 다른 도메인에서의 요청을 허용할 때 유용하게 사용될 수 있습니다.