파일 권한 조작 오류는 다음 조건 중 하나를 만족할 때 발생합니다.

1. 공격자가 파일 시스템에서 권한을 수정하는 작업에 사용되는 경로를 지정할 수 있습니다.

2. 공격자가 파일 시스템 상의 작업에 의해 할당된 권한을 지정할 수 있습니다.

예제 1: 다음 코드는 시스템 속성의 입력을 사용하여 기본 권한 마스크를 설정합니다. 공격자는 시스템 속성을 변경할 수 있으면 프로그램을 사용하여 프로그램이 조작하는 파일에 접근할 수 있습니다. 프로그램이 path manipulation에도 취약한 경우 공격자는 이 취약점을 이용하여 시스템의 임의 파일에 접근할 수 있습니다.

  String permissionMask = System.getProperty("defaultFileMask");
  Path filePath = userFile.toPath();
  ...
  Set<PosixFilePermission> perms = PosixFilePermissions.fromString(permissionMask);
  Files.setPosixFilePermissions(filePath, perms);
...

기본적으로, 동일한 도메인에서 나오는 경우에만 두 개의 SWF 응용 프로그램이 서로의 데이터에 접근할 수 있는지 확인하는 동일 출처 정책(Same Origin Policy)이 Flash 응용 프로그램에 적용됩니다. Adobe Flash를 사용하면 개발자는 프로그래밍 방식으로 또는 crossdomain.xml 구성 파일의 적절한 설정을 통해 정책을 수정할 수 있습니다. 그러나, 지나치게 허용적인 도메인 간 정책을 사용하면 악성 응용 프로그램이 부적절한 방법으로 피해자 응용 프로그램과 통신하여 스푸핑, 데이터 도난, 릴레이 및 기타 공격으로 이어질 수 있기 때문에 설정 변경 시 주의해야 합니다.

예제 1: 발췌한 다음 내용은 응용 프로그램과 통신이 허용되는 도메인을 프로그래밍 방식으로 지정하는 와일드카드 사용 예입니다.

   flash.system.Security.allowDomain("*");

*를 allowDomain()에 대한 인수로 사용하는 것은 응용 프로그램의 데이터가 임의의 도메인에서 다른 SWF 응용 프로그램으로 접근할 수 있음을 나타냅니다.

기본적으로, 동일한 도메인에서 나오는 경우에만 두 개의 SWF 응용 프로그램이 서로의 데이터에 접근할 수 있는지 확인하는 동일 출처 정책(Same Origin Policy)이 Flash 응용 프로그램에 적용됩니다. Adobe Flash를 사용하면 개발자는 프로그래밍 방식으로 또는 crossdomain.xml 구성 파일의 적절한 설정을 통해 정책을 수정할 수 있습니다. Flash Player 9,0,124,0부터 Adobe는 Flash Player에서 여러 도메인에 걸쳐 보낼 수 있는 사용자 지정 헤더를 정의하는 기능도 도입했습니다. 그러나 지나치게 허용적인 도메인 간 정책과 함께 적용할 경우, 지나치게 허용적인 사용자 지정 헤더 정책은 선택된 헤더를 악성 응용 프로그램이 대상 응용 프로그램으로 전송할 수 있어, 수신한 헤더를 처리하지 못하는 응용 프로그램 실행 시 다양한 공격으로 이어지거나 오류가 발생할 수 있기 때문에 이러한 설정 정의 시 주의해야 합니다.

예제 1: 다음 구성은 Flash Player가 도메인 간에 전송할 수 있는 헤더를 지정하는 와일드카드 사용을 보여줍니다.

  <cross-domain-policy>
    <allow-http-request-headers-from domain="*" headers="*"/>
  </cross-domain-policy>

*를 headers 속성 값으로 사용하면 모든 헤더가 여러 도메인에 걸쳐 전송됨을 나타냅니다.

기본적으로, 동일한 도메인에서 나오는 경우에만 두 개의 SWF 응용 프로그램이 서로의 데이터에 접근할 수 있는지 확인하는 동일 출처 정책(Same Origin Policy)이 Flash 응용 프로그램에 적용됩니다. Adobe Flash를 사용하면 개발자는 프로그래밍 방식으로 또는 crossdomain.xml 구성 파일의 적절한 설정을 통해 정책을 수정할 수 있습니다. 그러나, 지나치게 허용적인 도메인 간 정책을 사용하면 악성 응용 프로그램이 부적절한 방법으로 피해자 응용 프로그램과 통신하여 스푸핑, 데이터 도난, 릴레이 및 기타 공격으로 이어질 수 있기 때문에 설정에 영향을 미칠 수 있는 사람을 결정할 때 주의해야 합니다. 정책 제한 무시 취약점은 다음과 같은 경우 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 응용 프로그램에 입력됩니다.

2. 데이터는 도메인 간 정책 설정을 로드하거나 수정하는 데 사용됩니다.
예제 1: 다음 코드는 로드한 SWF 파일에 대한 매개 변수 중 하나의 값을 URL로 사용하여 그로부터 도메인 간 정책 파일을 로드합니다.

   ...
   var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
   var url:String = String(params["url"]);
   flash.system.Security.loadPolicyFile(url);
   ...

예제 2: 다음 코드는 로드한 SWF 파일에 대한 매개변수 중 하나의 값을 사용하여 신뢰할 수 있는 도메인 목록을 정의합니다.

   ...
   var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
   var domain:String = String(params["domain"]);
   flash.system.Security.allowDomain(domain);
   ...

Flash Player 7로 시작하면 HTTP를 통해 로드된 SWF 응용 프로그램은 기본적으로 HTTPS를 통해 로드된 SWF 응용 프로그램의 데이터에 접근할 수 없습니다. Adobe Flash를 사용하면 개발자는 프로그래밍 방식으로 또는 crossdomain.xml 구성 파일의 적절한 설정을 통해 이 제한을 수정할 수 있습니다. 그러나 HTTP로 로드한 SWF 응용 프로그램은 MITM(Man-In-The-Middle) 공격을 받을 수 있으므로 이러한 설정 정의 시 주의해야 하며, 따라서 신뢰하지 말아야 합니다.

예제: 다음 코드는 allowInsecureDomain()을 호출하여 HTTP로 로드된 SWF 응용 프로그램이 HTTPS로 로드된 SWF 응용 프로그램의 데이터에 접근하는 것을 막는 제한을 끕니다.

   flash.system.Security.allowInsecureDomain("*");

Hadoop 클러스터 제어 오류는 다음 경우에 발생합니다.

- 신뢰할 수 없는 소스의 데이터가 프로그램에 입력됩니다.

- Hadoop 클러스터 핵심 구성 요소에서 사용하는 데이터(예: NameNode, DataNode, JobTraker)가 클러스터의 상태를 변경합니다.

Hadoop 클러스터는 위험한 환경입니다. 클라우드 노드에 무단으로 접근하지 못하도록 방지하는 보안 구성을 적절히 설정하지 않을 경우 공격자가 인프라를 제어할 수 있습니다. 이로 인해 Hadoop 클러스터에서 제공하는 모든 데이터가 조작될 수 있습니다.

예제 1: 다음 코드는 Hadoop 클러스터 마스터 컴퓨터의 명령줄에서 입력을 받는 일반적인 클라이언트 응용 프로그램에서의 Job 전송을 보여 줍니다.

  public static void run(String args[]) throws IOException {

    String path = "/path/to/a/file";
    DFSclient client = new DFSClient(arg[1], new Configuration());
    ClientProtocol nNode = client.getNameNode();

    /* This sets the ownership of a file pointed by the path to a user identified
     * by command line arguments.
     */
    nNode.setOwner(path, args[2], args[3]);
    ...
  }

다른 웹 사이트의 실행 가능 콘텐트를 포함시키는 것은 위험한 발상입니다. 이는 다른 사이트와 사용자의 사이트 보안을 함께 묶는 행위입니다.

예제: 다음 script 태그를 보겠습니다.

  <script src="http://www.example.com/js/fancyWidget.js"></script>

이 태그가 www.example.com이 아닌 다른 웹 사이트에 나타나는 경우, 이 사이트의 정확한 비 악성 코드 사용 여부는 www.example.com에 따라 달라지게 됩니다. 공격자가 www.example.com을 손상시킨 경우, fancyWidget.js의 내용을 변경하여 사이트 보안을 침해할 수 있습니다. 예를 들어 fancyWidget.js에 코드를 추가하여 사용자의 기밀 데이터를 훔칠 수 있습니다.

Heap inspection 취약점은 암호나 암호화 키 같은 민감한 데이터가 메모리에서 삭제되지 않기 때문에 공격자에게 노출될 때 발생합니다.

realloc() 함수는 일반적으로 할당된 메모리 블록의 크기를 증가시킬 때 사용합니다. 이 작업을 수행할 때 이전 메모리 블록의 내용을 더 큰 새 블록에 복사해야 합니다. 이 작업은 원래 블록의 내용을 그대로 유지하지만 프로그램이 접근할 수 없게 하여 프로그램이 메모리의 민감한 데이터를 초기화하는 것을 방지합니다. 이후에 공격자가 메모리 덤프의 내용을 검사하게 되면 민감한 데이터가 노출될 수 있습니다.

예제: 다음 코드는 민감한 데이터가 들어 있는 버퍼에 대해 realloc()을 호출합니다.

plaintext_buffer = get_secret();
...
plaintext_buffer = realloc(plaintext_buffer, 1024);
...
scrub_memory(plaintext_buffer, 1024);

메모리에서 민감한 데이터를 초기화하려고 하지만 realloc()를 사용하기 때문에 처음에 plaintext_buffer에 할당된 메모리에서 데이터의 복사본이 노출될 수 있습니다.

Heap inspection 취약점은 암호나 암호화 키 같은 민감한 데이터가 메모리에서 삭제되지 않기 때문에 공격자에게 노출될 때 발생합니다.

VirtualLock 함수는 메모리의 페이지가 디스크에 페이지되는 것을 방지하기 위한 것입니다. 하지만, Windows 95/98/ME에서 이 함수는 스텁(stub)으로 구현되며 아무런 영향을 끼치지 않습니다.

프로그래머는 흔히 사용자가 내용을 보거나 조작할 수 없을 것으로 기대하며 숨겨진 필드의 내용을 신뢰합니다. 공격자는 이러한 가정을 위반합니다. 공격자는 숨겨진 필드에 기록된 값을 관찰하고 수정하거나 공격 데이터로 내용을 교체합니다.

예제:

  Hidden hidden = new Hidden(element);

숨겨진 필드에 민감한 정보가 있는 경우, 이 정보는 페이지의 나머지 부분 캐시 방법과 동일한 방법으로 캐시됩니다. 그러면 사용자에게 알리지 않고 민감한 정보가 브라우저 캐시에서 숨겨질 수 있습니다.

X-XSS-Protection 헤더는 최신 브라우저에서 기본적으로 활성화됩니다. 이 헤더 값을 false(0)로 설정하면 Cross-Site Scripting 보호가 비활성화됩니다.

이 헤더는 여러 위치에서 설정할 수 있으며 구성 오류 및 악의적인 조작이 있지 않은지 확인되어야 합니다.

예제: 다음 코드는 XSS 보호를 사용하지 않도록 Spring Security로 보호된 응용 프로그램을 구성합니다.

	<http auto-config="true">
        ...
        <headers>
            ...
            <xss-protection xss-protection-enabled="false" />
        </headers>
	</http>

HTML5 기능 중 하나는 클라이언트 쪽 SQL 데이터베이스에 데이터를 저장하는 기능입니다. 데이터베이스에 작성하고 데이터베이스에서 읽기 시작하는 데 필요한 주요 정보는 해당 이름입니다. 따라서 데이터베이스의 이름이 사용자마다 다른, 고유한 문자열이어야 합니다. 데이터베이스의 이름을 추측하기 쉬운 경우, 다른 사용자와 마찬가지로 승인되지 않은 사용자가 민감한 데이터를 훔치거나 데이터베이스 항목을 손상시킬 수 있습니다.
예제: 다음 코드는 추측하기 쉬운 데이터베이스 이름을 사용합니다.

...
var db = openDatabase('mydb', '1.0', 'Test DB', 2 * 1024 * 1024);
...

이 코드는 성공적으로 실행되지만 데이터베이스 이름을 'mydb'로 추측할 수 있는 사람은 누구나 데이터베이스에 액세스할 수 있습니다.

HTML5는 단순한 입력 폼 검증을 수행할 수 있는 새로운 기능을 제공합니다. required 속성을 사용하여 입력 폼 필드가 필요한지 지정할 수 있습니다. 필드 유형을 지정하면 해당 유형에 대하여 입력이 확실히 검사됩니다. 정규식에 대하여 입력을 검사하는 사용자 지정 가능 pattern 속성까지 제공할 수 있습니다. 그러나 이 검증은 폼 태그의 novalidate 속성과 제출 입력 태그의 formnovalidate 속성 추가 시 비활성화됩니다.

예제 1: 다음 샘플은 novalidate 속성을 통해 폼 검증을 비활성화합니다.

      <form action="demo_form.asp" novalidate="novalidate">
        E-mail: <input type="email" name="user_email" />
        <input type="submit" />
      </form>

예제 2: 다음 샘플은 formnovalidate 속성을 통해 폼 검증을 비활성화합니다.

      <form action="demo_form.asp" >
        E-mail: <input type="email" name="user_email" />
        <input type="submit" formnovalidate="formnovalidate"/>
      </form>

검증이 비활성화된 HTML 폼은 사용자 친화적이지 않고 서버가 수많은 종류의 공격에 노출될 수 있습니다. 검증되지 않은 입력은 cross-site scripting, process control 및 SQL injection과 같은 취약점의 원인이 됩니다.

Spectre, Meltdown 등의 취약성으로 인해 부채널 악용이 발생할 수도 있으므로 특정 웹 문서의 데이터 개인 정보를 보호하는 정책 적용 작업의 중요성이 높아졌습니다. COOP(Cross-Origin Opener Policy)는 부채널 공격에 따른 중요한 정보 노출을 방지하기 위해 제작되었습니다. 구체적으로는 COOP를 통해 팝업 등의 기타 외부 문서와 관련한 문서 검색 컨텍스트 그룹을 격리할 수 있습니다.

예제 1: 다음 코드에는 Django 프레임워크의 안전하지 않은 COOP 설정인 'unsafe-none'이 나와 있습니다. 이 설정을 사용하는 경우 부채널 공격이 발생하면 외부 문서가 소스 문서의 검색 컨텍스트 그룹에 포함된 개인 데이터에 액세스하게 될 수도 있습니다.

SECURE_CROSS_ORIGIN_OPENER_POLICY = 'unsafe-none'

MIME 염탐은 바이트 스트림의 콘텐트를 검사하여 포함된 데이터의 파일 형식을 추론하는 것입니다.

MIME 염탐을 명시적으로 비활성화하지 않으면 공격자는 의도하지 않은 방식으로 데이터를 해석하도록 일부 브라우저를 조작할 수 있으며, 이를 통해 Cross-Site Scripting 공격이 이루어질 수 있습니다. 사용자가 제어 가능한 콘텐트를 포함할 수 있는 모든 페이지에는 X-Content-Type-Options: nosniff라는 HTTP 헤더를 사용해야 합니다.

예제: 다음 코드는 MIME 염탐 보호를 사용하지 않도록 Spring Security로 보호된 응용 프로그램을 구성합니다.

	<http auto-config="true">
        ...
        <headers>
            ...
            <content-type-options disabled="true"/>
        </headers>
	</http>

CSP(Content Security Policy)는 웹 브라우저에서 렌더링될 때 사이트에서 콘텐트를 로드하거나 연결을 시작할 수 있도록 허용된 도메인을 지정하는, 선언적 보안 헤더입니다. CSP는 코드의 허용 목록 검사 및 입력 확인 외에 Cross-Site Scripting, 클릭재킹(Clickjacking), Cross-Origin 접근 등의 중요한 취약점을 차단하기 위한 추가 보안 계층 역할을 합니다. 하지만 헤더를 잘못 구성하면 이러한 추가 보안 계층이 형성되지 않습니다. 정책은 15개의 지정자를 사용하여 정의하는데, 이 가운데 다음 8개는 리소스 접근을 제어합니다. script-src, img-src, object-src, style_src, font-src, media-src, frame-src, connect-src.

이러한 각 지정자는 사이트가 해당 지정자에서 관여하는 기능에 접근할 수 있는 도메인을 지정하는 값으로 소스 목록을 사용합니다. 개발자는 전체 또는 일부 소스를 나타내기 위해 와일드카드인 *를 사용할 수도 있습니다. 지정자를 반드시 사용해야 하는 것은 아닙니다. 브라우저는 목록에 나열되지 않은 지정자에 대해 모든 소스를 허용하기도 하고 선택적 default-src 지정자에서 값을 파생하기도 합니다. 또한, 이 헤더의 사양은 시간이 지남에 따라 발전해 왔습니다. Firefox(버전 23까지)와 IE(버전 10까지)에서는 X-Content-Security-Policy로 구현되어 있었으며 Chrome(버전 25까지)에서는 X-Webkit-CSP로 구현되어 있었습니다. 하지만 이제는 새 표준 이름인 Content Security Policy를 사용하기 위해 두 이름 모두 더 이상 사용되지 않습니다. 지정자의 수, 더 이상 사용되지 않는 2개의 대체 이름, 그리고 단일 헤더에서 여러 번 나타나는 동일한 헤더와 반복되는 지정자가 처리되는 방식을 감안하면 개발자가 이 헤더를 잘못 구성할 확률이 높습니다.

다음과 같은 구성 오류 시나리오를 살펴보십시오.

- unsafe-inline 또는 unsafe-eval이 포함된 지정자는 CSP를 사용하는 목적을 무효화합니다.
- script-src 지정자가 설정되어 있지만 nonce 스크립트는 구성되어 있지 않습니다.
- frame-src가 설정되어 있지만 sandbox는 구성되어 있지 않습니다.
- 동일한 응답에서 이 헤더의 여러 인스턴스가 허용됩니다. 개발 팀과 보안 팀이 모두 헤더를 설정한 상황에서 어느 한 팀이 더 이상 사용되지 않는 이름 중 하나를 사용할 수도 있습니다. 최신 이름(즉, Content Security Policy)이 지정된 헤더가 없는 경우에는 더 이상 사용되지 않는 헤더가 허용되지만 이름이 content-security-header로 지정된 정책이 있는 경우에는 이러한 헤더가 무시됩니다. 이전 버전에서는 더 이상 사용되지 않는 이름만 인식하므로 원하는 지원 수준을 확보하려면 응답에 포함된 동일한 정책에 3개의 이름이 모두 지정되어 있어야 합니다.
- 헤더의 동일한 인스턴스에서 지정자가 반복되는 경우 이후에 사용되는 지정자는 모두 무시됩니다.

예제 1: 다음 django-csp 구성에서는 안전하지 않은 unsafe-inline 및 unsafe-eval 지정자를 사용하여 인라인 스크립트 및 코드 평가를 허용합니다.

...
MIDDLEWARE = (
    ...
    'csp.middleware.CSPMiddleware',
    ...
)
...
CSP_DEFAULT_SRC = ("'self'", "'unsafe-inline'", "'unsafe-eval'", 'cdn.example.net')
...

CSP는 웹 브라우저에서 렌더링될 때 사이트에서 콘텐트를 로드하거나 연결을 시작할 수 있도록 허용된 도메인을 지정하는, 선언적 보안 헤더입니다. CSP는 코드의 허용 목록 검사 및 입력 확인 외에 Cross-Site Scripting, 클릭재킹(Clickjacking), Cross-Origin 접근 등의 중요한 취약점을 차단하기 위한 추가 보안 계층 역할을 합니다.

Spring Security 및 기타 프레임워크는 기본적으로 Content Security Policy 헤더를 추가하지 않습니다. 웹 응용 프로그램 작성자는 이 추가 보안 계층의 혜택을 받으려면 보호된 리소스를 적용하거나 모니터링하기 위한 보안 정책을 선언해야 합니다.

웹 사이트를 프레임에 추가하도록 허용하면 보안에 이슈가 발생할 수 있습니다. 예를 들어, 클릭재킹(Clickjacking) 취약점이 발생하거나 원하지 않는 cross-frame 통신이 허용될 수 있습니다.

기본적으로 Spring Security와 같은 프레임워크에는 응용 프로그램을 프레이밍해야 하는지 브라우저에 지시하는 X-Frame-Options 헤더가 포함됩니다. 이 헤더를 사용하지 않거나 설정하지 않으면 cross-frame 관련 취약점이 발생할 수 있습니다.

예제 1: 다음 코드는 X-Frame-Options 헤더를 사용하지 않도록 Spring Security로 보호된 응용 프로그램을 구성합니다.

	<http auto-config="true">
        ...
        <headers>
            ...
            <frame-options disabled="true"/>
        </headers>
	</http>

CSP(Content Security Policy)는 개발자가 콘텐트를 검색할 수 있는 위치의 허용 목록 포함하여 브라우저 내에서 허용되는 보안 관련 동작을 지정할 수 있는 선언적 보안 헤더입니다. CSP는 코드의 허용 목록 검사 및 입력 확인 외에 Cross-Site Scripting, 클릭재킹(Clickjacking), Cross-Origin 접근 등의 중요한 취약점을 차단하기 위한 추가 보안 계층 역할을 합니다. 하지만 헤더를 잘못 구성하면 이러한 추가 보안 계층이 형성되지 않습니다. 정책은 15개의 지정자를 사용하여 정의하며 다음 8개는 리소스 접근을 제어합니다. script-src, img-src, object-src, style_src, font-src, media-src, frame-src, connect-src. 이러한 8개의 지정자는 사이트가 해당 지정자에서 관여하는 기능에 접근할 수 있는 도메인을 지정하는 값으로 소스 목록을 사용합니다. 개발자는 전체 또는 일부 소스를 나타내기 위해 와일드카드인 *를 사용할 수도 있습니다. 'unsafe-inline' 및 'unsafe-eval'과 같은 추가 소스 목록 키워드를 사용하면 스크립트 실행을 보다 세밀하게 제어할 수 있지만 잠재적으로 유해합니다. 지정자를 반드시 사용해야 하는 것은 아닙니다. 브라우저는 목록에 나열되지 않은 지정자에 대해 모든 소스를 허용하기도 하고 선택적 default-src 지정자에서 값을 파생하기도 합니다. 또한, 이 헤더의 사양은 시간이 지남에 따라 발전해 왔습니다. Firefox 버전 23 이하 및 IE 버전 10 이하에서는 X-Content-Security-Policy로, Chrome 버전 25 이하에서는 X-Webkit-CSP로 구현되었습니다. 하지만 이제는 새 표준 이름인 Content Security Policy를 사용하므로 이러한 두 이름은 더 이상 사용되지 않습니다. 지정자의 수, 더 이상 사용되지 않는 2개의 대체 이름, 그리고 단일 헤더에서 여러 번 나타나는 동일한 헤더와 반복되는 지정자가 처리되는 방식을 감안하면 개발자가 이 헤더를 잘못 구성할 확률이 높습니다.

예제 1: 다음 코드에서는 지나치게 허용적이며 안전하지 않은 default-src 지정자를 설정합니다.

	<http auto-config="true">
        ...
        <headers>
            ...
            <content-security-policy policy-directives="default-src '*'" />
        </headers>
    </http>

HTML5 이전 버전에서 JavaScript가 웹 페이지의 항목에 액세스하려면, 웹 브라우저가 강제 실행하는 동일 출처 정책(Same Origin Policy)에 따라 JavaScript 및 웹페이지의 출처가 동일한 도메인이어야 합니다. 동일 출처 정책(Same Origin Policy)을 사용하지 않을 경우, 악성 웹 사이트가 클라이언트의 기밀을 사용하여 다른 웹 사이트의 민감한 정보를 로드하고, 정보를 발췌하며 공격자와 역으로 통신하도록 JavaScript를 사용할 수 있습니다. HTML5를 사용하면 Access-Control-Allow-Origin이라는 새 HTTP 헤더가 정의될 경우 JavaScript가 도메인 전체의 데이터에 액세스할 수 있습니다. 이 헤더가 있는 경우, 웹 서버는 cross-origin 요청을 사용하여 해당 도메인에 액세스할 수 있는 다른 도메인을 정의합니다. 그러나, 지나치게 허용적인 CORS 정책을 사용하면 악성 응용 프로그램이 부적절한 방법으로 피해자 응용 프로그램과 통신하여 스푸핑, 데이터 도난, 릴레이 및 기타 공격으로 이어질 수 있기 때문에 헤더 정의 시 주의해야 합니다.

예제 1: 다음은 응용 프로그램과 통신이 허용되는 도메인을 프로그래밍 방식으로 지정하는 와일드카드 사용 예입니다.

<websocket:handlers allowed-origins="*">
        <websocket:mapping path="/myHandler" handler="myHandler" />
</websocket:handlers>

*를 Access-Control-Allow-Origin 헤더의 값으로 사용하는 것은 응용 프로그램의 데이터가 임의의 도메인에서 실행 중인 JavaScript에 접근할 수 있음을 나타냅니다.