はじめに こんにちは。ご無沙汰しております。脆弱性診断員の百田です。 今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。 その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。 注意点として「Access-Control-Allow-Origin」に設定される値自体はどうでも良くないです。重要です。 理由がよくわからない場合は以下の記事をご覧いただければと思います。 https://developer.mozilla.org/ja/docs/Web/HTTP/CORS では、そこまで重要でもないと思ったのは何なのか……。それは「Access-Control-Allow-Origin」に以下の値が設定されていた場合、どちらがセキュリティ的にマシなのか?とい
![Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか - セキュアスカイプラス](https://cdn-ak-scissors.b.st-hatena.com/image/square/eba64bf9a9afe7d4aad7ccd3613ee79587a2b74c/height=288;version=1;width=512/https%3A%2F%2Fsecuresky-plus.com%2Fwp-content%2Fuploads%2F2024%2F03%2F20211130174114-300x229.png)