タグ

corsに関するk-holyのブックマーク (16)

  • CORSまとめ - Qiita

    今更ですが、CORS (Cross-Origin Resource Sharing)を色々試していたら、思っていた以上に色々パターンがあることに気づいたので、改めてその扱い方についてまとめてみました。 そもそも 現在のWebブラウザでは、あるWebサイトが持つ情報が別の悪意あるWebサイトに悪用されるのを防ぐために、Same-Origin Policy(日語では同一生成元ポリシー)が適用されます。 例えば、あるWebサイト https://guiltysite.com をブラウザで表示している時に、このWebページからXMLHttpRequest(以下、XHR)やFetch APIで別のWebサイト https://innocentsite.net からHTTP(S)でデータを読み込もうとすると、エラーになる、というわけです。 しかし、アクセス元が悪意あるWebサイトならともかく、データ

    CORSまとめ - Qiita
    k-holy
    k-holy 2016/02/02
  • CORSリクエストでクレデンシャル(≒クッキー)を必要とする場合の注意点 - Qiita

    クレデンシャルの送信 クロスオリジンのAJAXリクエストでクレデンシャル(クッキーの送信またはBASIC認証)を必要とする場合は、それを許可するオプションをフロント側Javascriptで付けておく必要があります。デフォルトではCORSリクエストでクッキーは送信されませんし、BASIC認証は送れません。 Fetch API の場合 fetch(url, { mode: 'cors', //クロスオリジンリクエストをするのでCORSモードにする credentials: 'include' //クレデンシャルを含める指定 })

    CORSリクエストでクレデンシャル(≒クッキー)を必要とする場合の注意点 - Qiita
  • cross-domainでajaxを使用したい場合の考慮ポイント

    k-holy
    k-holy 2015/04/14
  • オリジン間リソース共有 (CORS) - HTTP | MDN

    HTTP ガイド HTTP の概要 典型的な HTTP セッション HTTP メッセージ MIME タイプ(IANA メディア種別) HTTP の圧縮 HTTP キャッシュ HTTP 認証 HTTP Cookie の使用 HTTP のリダイレクト HTTP 条件付きリクエスト HTTP 範囲リクエスト コンテンツネゴシエーション HTTP/1.x のコネクション管理 HTTP の進化 プロトコルのアップグレードの仕組み プロキシサーバーとトンネリング HTTP クライアントヒント HTTP セキュリティ サイトの安全化 HTTP Observatory Permissions Policy コンテンツセキュリティポリシー (CSP) オリジン間リソース共有 (CORS) Cross-Origin Resource Policy (CORP) Strict-Transport-Securit

    オリジン間リソース共有 (CORS) - HTTP | MDN
    k-holy
    k-holy 2015/03/24
  • XMLHttpRequestを使ったCSRF(補足編) - 葉っぱ日記

    XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記を書いていて思ったけど、いまいちXHRを使ったCSRF(というかクロスオリジン通信)について理解されていないような感じだったので、ちょっと書いておきます。とりあえず日語のリソース的には、HTTP access control | MDN が詳しくて、それを読めばだいたい事足りるんで、あとはCSRFに関連しそうな話題だけ。 Q. そもそも「クロスオリジン」って何? スキーム、ホスト、ポートの3つの組み合わせが一致している場合を同一オリジン(same-origin)、いずれか一つでもことなる場合をクロスオリジン(cross-origin)と言います。つまり、XHRでドメインを超えて通信している場合は典型的なクロスオリジン通信となります。 Q. え? XMLHttpReuest って他のドメインにリクエストを発行できないんじゃ い

    XMLHttpRequestを使ったCSRF(補足編) - 葉っぱ日記
  • 異なるドメインのURLからデータを参照する方法 - Cross-Origin Resource Sharing

    2014/1/16 に W3C Recommendation になった Cross-Origin Resource Sharing (以下 CORS) 仕様について、サーバ実装およびスクリプト実装をどのように CORS 対応すれば良いかのエントリです。CORS 対応のユーザエージェントを実装しなければいけないという奇特な人は W3C 仕様の 7 章あたりを参照してください。 10月に CORS in Action も発売されるようです。W3C 仕様は表現や文章構成がアレなんでこっちに期待したいですね。 導入 サイト間でのコンテンツまたは Web 機能の意図しない利用を防止する目的で、Ajax を使用した origin (ドメイン) の異なるサイトへのリクエストはユーザエージェント (ブラウザ) によって制限されています。CORS はリソース (データや Web API) の提供側がそのデー

    異なるドメインのURLからデータを参照する方法 - Cross-Origin Resource Sharing
    k-holy
    k-holy 2014/09/29
    CORSの仕様、preflightリクエストのフロー
  • Cross−Origin Resource Sharing (CORS) の使用 - Amazon Simple Storage Service

    Cross−Origin Resource Sharing (CORS) は、特定のドメインにロードされたクライアントウェブアプリケーションが異なるドメイン内のリソースと通信する方法を定義します。Amazon S3 の CORS のサポートによって、Amazon S3 でリッチなクライアント側ウェブアプリケーションを構築し、Amazon S3 リソースへのクロスオリジンアクセスを選択的に許可できます。 このセクションでは、CORS の概要を示します。サブトピックでは、Amazon S3 コンソールを使用するか、Amazon S3 REST APIAWS SDK を使用して、プログラムによって CORS を有効にする方法について説明します。 Cross−Origin Resource Sharing: ユースケースのシナリオ CORS のユースケースの例を以下に示します。 シナリオ 1

    k-holy
    k-holy 2014/07/08
  • Browser-Side Amazon S3 Uploads, Using CORS

    choose the S3 option from your AWS Management Console.On the bucket you wish to grant CORS access to, click the properties option.note the option, Edit CORS Configuration I created a configuration that looks something like this: 2. Create Signed POST ParametersTo upload to S3 from the client-side, you need to populate several special post parameters. Basically, you use your AWS credentials to secu

    Browser-Side Amazon S3 Uploads, Using CORS
    k-holy
    k-holy 2014/07/08
  • Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話

    You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

    Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話
  • XHR2でサブドメインのワイルドカードOriginに対してCORSを許可する設定、他。 - Qiita

    はじめに 今どきのブラウザはではルールに従うことでクロスドメイン(クロスオリジン)のAJAXが出来ます。ルールというのは最低限、AJAXで取得するデータがある先のサーバがAccess-Control-Allow-Originヘッダを返すことです。 ただしこの仕様には関連ヘッダがやたら沢山あるので、やりたいことにたいして適切な設定するには記事後半の関連ヘッダまとめまで目を通しておくことをおすすめします。 単純なケースの .htaccess による設定例(オリジンの許可例) これらの設定サンプルは認証を必要としないシンプルなGETリクエストでCORSを行う為の設定です。 全て許可 一番簡単なのは以下のような設定です。これを .htaccess ファイルに書いておけばそのサイト上のコンテンツは他サイトから取得し放題ということになります。

    XHR2でサブドメインのワイルドカードOriginに対してCORSを許可する設定、他。 - Qiita
    k-holy
    k-holy 2014/01/20
  • Same Domain Policy と Cross-Origin Resource Sharing (CORS) | WebLog about me.

    #基的には、面倒な話なのであるが・・・この種のプログラムを作る上では避けられない・・・ Webブラウザーの基的なセキュリティー実装方針として、"Same Domain Policy"というのがあり、Cookieではそれが適応されているが、XMLHttpRequest(XHR)を通じた接続はどのような状況であろうか? ユーザーが、example.com にアクセスした場合、cookieはexample.comにしかcookieを送信しないようにしているのは、ブラウザーの実装による。cookieの生成元にしかcookieを送信しない。これで、example.comとユーザーとの間のみで、プライバシーに関連するような情報を保護しようと言うのである。わかりました。同意です。 ただし、formタグからサブミットする先、scriptタグから読み込まれたスクリプトの実行は、このポリシーが適応されてい

    k-holy
    k-holy 2014/01/20
  • CORS(Cross-Origin Resource Sharing)について整理してみた | DevelopersIO

    ブラウザからAmazon S3に直接ファイルをアップロードしたい 先日、Amazon S3にファイルをアップロードするWebアプリを作ろうとして色々調べていたところ、S3にCORSという仕様のクロスドメインアクセスの設定をすることによって、ブラウザから直接S3にアップロードをする方法にたどり着きました。ただ、この方法を使うにあたってはCORSというクロスドメインアクセスの仕様をきちんと理解しておいた方が良さそうでしたので、まずはCORSについて自分なりに整理してみました。 なお、弊社の横田がCORSとS3についての記事を以前書いていますので、S3のCORSサポートに関する概要を知りたい方はそちらをご覧下さい。 CORS(Cross-Origin Resource Sharing)によるクロスドメイン通信の傾向と対策 CORS ブラウザでAjax通信を行う際には、同一生成元ポリシー(Same

    k-holy
    k-holy 2014/01/16
  • CORS(Cross-Origin Resource Sharing)によるクロスドメイン通信の傾向と対策 | DevelopersIO

    CORS(Cross-Origin Resource Sharing)って何? CORS(Cross-Origin Resource Sharing)は、その名の通り、ブラウザがオリジン(HTMLを読み込んだサーバのこと)以外のサーバからデータを取得する仕組みです。各社のブラウザには、クロスドメイン通信を拒否する仕組みが実装されています。これは、クロスサイトスクリプティングを防止するためです。Aというサイトに訪問したのに、Bというサイトに向けて個人情報を送っていたというのは困りますよね。例えば、オリジンから読み込んだHTML内のJavaScriptでJSONデータを読み込むとしましょう。JSONデータが同じサーバにあれば普通に読み込めますが、別のサーバにある場合は読み込めません。まぁ実際のところはJSONPという仕組みを使ってできちゃったりしますが、抜け道的なやり方で使われていました。CO

    k-holy
    k-holy 2014/01/16
  • Ajax クロスドメインリクエスト 制約

    JavaScript を用いて クロスドメイン で リクエストを行いたいと思うと、 "同一制限元ポリシー(Same Origin Policy)" に引っかかります。 そもそもその制約にある背景は何か…といったところから、制約内容、制約の例外、制約の回避についてまとめました。 制約する理由 制約の内容 制約の例外 制約の回避 制約する理由 クロスサイトリクエストフォージェリ(CSRF)対策。 悪意あるサイトからの不正な要求を拒否するため。 制約の回避方法を見ていてもそうですが、信頼できるサーバーかのリクエストしか受け付けないようになっているようです。 制約の内容 ― 同一生成元ポリシー(Same Origin Policy) 以下の3条件がすべて満たされている場合のみ、XMLHttpRequest によるデータ送信 & 受信が行えます。 それ以外は基的に通信が拒否されます。 スキーム(h

    Ajax クロスドメインリクエスト 制約
    k-holy
    k-holy 2014/01/15
  • ASP.NET Web API 2 CORS サポートについて - miso_soup3 Blog

    ASP.NET Web API 2 の新機能の 1 つとして CORS サポートがあります。 クロスドメイン通信についてちゃんと分かっていなかったので、 ・クロスドメイン通信 ・CORS ・ASP.NET Web API の CORS サポート実装 についてまとめたいと思います。 ASP.NET 公式サイトによる説明はこちら: Enabling Cross-Origin Requests in ASP.NET Web API CodePlex - Documentation>Specs>CORS support for ASP.NET Web API クロスドメイン通信について クロスドメイン通信を行うには、JSONP を使うか、CORS に従う必要があります。 CORS を利用するには、ブラウザ・サーバーの双方が CORS に対応している必要があり、ブラウザの種類やバージョンにより、対応

    ASP.NET Web API 2 CORS サポートについて - miso_soup3 Blog
    k-holy
    k-holy 2014/01/15
  • JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意

    はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript

    JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
    k-holy
    k-holy 2013/05/20
    SymfonyのHttpFoundationにRequest::isXmlHttpRequest()があったのはこういう背景なのね
  • 1