情報処理安全確保支援士_CORS
- CORS(Cross Origin Resource Sharing)
オリジン間リソース共有Cross-Origin Resource Sharing (CORS) は、追加の HTTP ヘッダーを使用して、あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組みである。ウェブアプリケーションは、自分とは異なるオリジン (ドメイン、プロトコル、ポート番号) にあるリソースをリクエストするとき、オリジン間 HTTP リクエストを実行する。
セキスペではwithCredentials属性について設問があった。あるサイトa.comから別サイトb.comにCookieを含めてリクエストを送付する際、デフォルトでは異なるOriginに対してCookieは送付されない。そのため、OriginをまたいでCookieを送る場合はwithCredentials属性をtrueに設定しておく必要がある(CMLHttpRequestの場合)。
-Same Origin Policy
同一オリジンポリシーといい、XSSやCSRFといった脆弱性を防ぐことができる。
- 参考URL