Origin間リソース共有

Same-Origin Policyがある中でも、Cross Originでresourceの共有ができるようにする

Cross Originだとしても、両方とも自社のrecourseであるなどの状況がある

CORSが無いと、Same-Origin Policyによりブロックされてしまう

CORS Playground

CORSのやり方には2パターンのある

上図での青線のrequestの形式によって2種類に分けられる

Simple Requestである

ref RequestがSimple Requestである場合のCORS

Simple Requestでない

ref RequestがSimple Requestでない場合のCORS

自分(S)のresouceが外部(X)からアクセスすることを許可する必要がある

Origin Headerありのrequestが飛んできた時に、適切に対応する必要がある

もし、SがCORSに対応していなければ問答無用でアクセスは拒否される

というか、セキュリティ対策の観点でCORSを見ているときは、自分はS

自分の配信するページの内容が、外部からアクセスされて良いのか？を考えている

参考

『ハイパフォーマンスブラウザネットワーキング』 15章

『Webブラウザセキュリティ』 2.3 p.35~