CORS
Cross-Origin Resource Sharing
現在と異なる
Webページ
(
オリジン
)に
アクセス
することを可能にする仕組み.
同一オリジンポリシ
によって
JavaScript
の
安全性
がもたらされるが,
Ajax
などの普及により異なる
オリジン
の
API
を呼び出したいことが増えた.
オリジン
単位での
アクセス制御
を提供.
HTTPヘッダ
を用いて
アクセス制御
を行っている.
Access-Control-Allow-Originヘッダ
XHR
で
クロスオリジンリクエスト
が飛ばない前提で作られた
サイト
で
リスク
が増える懸念.
CSRF
が代表例.
プリフライトリクエスト
https://www.youtube.com/watch?v=ryztmcFf01Y