B: オリジン間リソース共有 (CORS) - HTTP

B: オリジン間リソース共有 (CORS) - HTTP | MDN

HTTPヘッダの具体例まで載ってる。

fetch API などのHTTPリクエストは CORS を使用している。

一部の単純なリクエストを除いて preflight というのが行われる。

あと、ホワイトリスト制にするなら Vary: Origin をヘッダに含めなくてはならない、といった制限がある

例えば django-cors-headers は CORS を実装するためのモジュールだけど、以下のようにHTTPヘッダがテストされている

code:python

@override_settings(CORS_ALLOW_CREDENTIALS=True, CORS_ORIGIN_ALLOW_ALL=True)

def test_allow_all_origins_get(self):

resp = self.client.get("/", HTTP_ORIGIN="http://example.com")

assert resp.status_code == 200

assert resp"Vary" == "Origin"