[TYPESCRIPT] CORS 설정, SameSite/도메인 정책, 개발/운영 환경 분리 - 쿠키 기반 인증이 운영에서 안 흔들리는 기준

쿠키 기반 인증(특히 Refresh Token을 HttpOnly 쿠키로 두는 구조)을 도입하면 프론트/백엔드에서 가장 많이 겪는 문제가 바로 CORS, SameSite, 도메인입니다.개발 환경에서는 잘 되던 것이 운영에서 깨지거나, 반대로 운영에서는 잘 되는데 로컬에서만 안 되는 경우도 흔합니다. 대부분 원인은 “브라우저 쿠키 정책 + CORS 정책 + 배포 도메인 구조”가 맞지 않아서입니다.실무에서 자주 쓰는 기준을 중심으로 다음을 정리합니다.CORS 설정의 핵심 포인트(credentials, origin)SameSite/도메인 정책(서브도메인, 쿠키 스코프)개발/운영 환경 분리(로컬, 스테이징, 프로덕션)예시는 Node/NestJS 계열 기준으로 설명하지만, Spring/Express 등에서도 원리는..