CORS
Cross-Origin Resource Sharing
Origin間リソース共有
Same-Origin Policyがある中でも、Cross Originでresourceの共有ができるようにする
Cross Originだとしても、両方とも自社のrecourseであるなどの状況がある
CORSが無いと、Same-Origin Policyによりブロックされてしまう
https://jakearchibald.com/2021/cors/playground/
CORS Playground
https://jakearchibald.com/2021/cors/
CORSのやり方には2パターンのある
https://gyazo.com/1853e3aa9e4f6e78c44da57ed21884f9
上図での青線のrequestの形式によって2種類に分けられる
Simple Requestである
ref RequestがSimple Requestである場合のCORS
Simple Requestでない
ref RequestがSimple Requestでない場合のCORS
対応が必要なのはSのresponse
自分(S)のresouceが外部(X)からアクセスすることを許可する必要がある
Origin Headerありのrequestが飛んできた時に、適切に対応する必要がある
もし、SがCORSに対応していなければ問答無用でアクセスは拒否される
というか、セキュリティ対策の観点でCORSを見ているときは、自分はSmrsekut.icon
自分の配信するページの内容が、外部からアクセスされて良いのか?を考えている
参考
『ハイパフォーマンスブラウザネットワーキング』 15章
『Webブラウザセキュリティ』 2.3 p.35~
https://future-architect.github.io/articles/20220222a/