Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ブラウザは あなたを守りたい~CORS~

Avatar for konaito | FYBE konaito | FYBE
July 27, 2024
0
82

ブラウザは あなたを守りたい~CORS~

CORS(Cross-Origin Resource Sharing)の基本概念とその重要性について説明します。CORSは、異なるオリジン間でのリソース共有を安全に実現するためのブラウザのセキュリティ機能です。
Avatar for konaito | FYBE

konaito | FYBE

July 27, 2024
Tweet

More Decks by konaito | FYBE

See All by konaito | FYBE
FYBE-社外CTO事業について-
Avatar for konaito | FYBE konaito
0
19
Why go?
Avatar for konaito | FYBE konaito
0
3
Deepform
Avatar for konaito | FYBE konaito
0
6
Cookie.pdf
Avatar for konaito | FYBE konaito
0
4
UniChat 企画書:大学ドメインファンド型 LLM プラットフォーム
Avatar for konaito | FYBE konaito
0
66
AI時代の新常識 ~ 未来型社外CTOがもたらす経営革新 ~
Avatar for konaito | FYBE konaito
0
150
Next.js最強
Avatar for konaito | FYBE konaito
0
430

Featured

See All Featured
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
188
11k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
614
210k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
32
2.4k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
42
7.4k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
524
40k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
233
17k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
30
5.9k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.3k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.6k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.8k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k

Transcript

  1. ブラウザは あなたを守りたい ~ CORS ~

  2. None
  3. None

  4. APIサーバー側: APIのheader内で設定可能で、 headerに直接書き込むというよりは、 バックエンド側でapiのcors設定を変更するライブラリを利用して書き込む

  5. None

  6. クライアント側のJavascriptで利用可能な多くの情報を持って APIを叩かれないようにするためのもの クライアント側 JavaScriptの特有のデータ クライアント側のJavaScriptでしか送信できないデータには以下のようなものがあります: クッキーとセッショントークン: • ブラウザは、現在のユーザーのセッション情報を保持するクッキーやトークンにアクセスできます。これらの情報は、 サーバーとの認証済み通信に使われますが、クロスオリジンのリクエストには慎重に扱われます。 ブラウザストレージのデータ:

    • ローカルストレージやセッションストレージに保存されたデータは、クライアント側のスクリプトによってのみアクセス可 能です。 ブラウザコンテキストの情報: • ブラウザの状態に関連する情報(例えば、タブやウィンドウのサイズ、ナビゲーション履歴など)は、クライアント側のス クリプトに特有のものです。

  7. CORS(Cross-Origin Resource Sharing)は、W3C(World Wide Web Consortium)によって2004年 に初めて草案として発表されました。 CORSの仕様は2014年1月にW3C勧告として正式に公開されました。 CORSはブラウザがユーザーを守るための規格 元々はセキュリティのためにSame-Origin

    Policyにより同一オリジンからの通信しか許可されてなかった 違法なウェブサイト(偽サイト等)がユーザーのクッキーやセッショントークン( OAuthなど)、ブラウザスト レージのデータ、ブラウザコンテキストの情報などを使って、ユーザーのログインしているアカウントへの アクセスなどをしようとするときに拒否させる効能 ホワイトリスト外Webアプリからのauth認証行為などを防げる