「SPA の CSRF 対策や CORS について検証する - 30歳からのプログラミング」

2021/4/23 追記 Twitter にて指摘を頂いたので追記。詳細は当該ツイートを読んで頂きたいが、プリフライトリクエストを CSRF 対策として用いるのは適切ではないという内容。この記事に書いた仕組みや挙動そのものが間違っているわけではないのだが、プリフライトリクエストはそもそもセキュリティのための機能ではない。そして、詳しくは記事の続きを読んでほしいが、プリフライトリクエストが発生するということは、HTTP メッセージのやり取りが 1 回増えるということなので、パフォーマンス上、望ましくない。代替案がないならともかく、リクエストのオリジンをチェックすれば対応できるのだから、敢…

2021/4/23 追記 Twitter にて指摘を頂いたので追記。詳細は当該ツイートを読んで頂きたいが、プリフライトリクエストを CSRF 対策として用いるのは適切ではないという内容。この記事に書いた仕組みや挙動そのものが間違っているわけではないのだが、プリフライトリクエストはそもそもセキュリティのための機能ではない。そして、詳しくは記事の続きを読んでほしいが、プリフライトリクエストが発生するということは、HTTP メッセージのやり取りが 1 回増えるということなので、パフォーマンス上、望ましくない。代替案がないならともかく、リクエストのオリジンをチェックすれば対応できるのだから、敢…

Webページ

コンテンツ文字数：0 文字

見出し数（H2/H3タグ）：0 個

閲覧数：108 件

2021-07-25 14:01:44

オリジナルページを開く

タグ一覧