HTTPリクエストを利用する変数を調べる HTTPリクエストに含まれる値を利用している、Perl、PHP、Java各言語における変数の一部を以下に示す。なお、検証環境はApache HTTP Server/2.0.61、Tomcat/5.5.25を利用した。Perl、PHPにおけるCGI/1.1の環境変数については、RFC3875で定義されているが、実際に取得可能な値については実装に依存する。 Perl Acceptヘッダ
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
通常、JavaScriptでAjax呼び出しを行う場合、セキュリティの観点から、異なるドメインからの呼び出しは制限されています。 このため、呼び出しを行うと「Origin http://xxxxxx is not allowed by Access-Control-Allow-Origin.”」みたいなエラーが出力されることになります。 このエラーを回避するには、呼び出される側のWebAPIのレスポンスヘッダの「Access-Control-Allow-Origin:」に呼び出しを許可するドメイン名を指定します。 呼び出されるドメインが限定されている場合は、明示的に指定した方がセキュリティ的にも優れていますが、広く公開するAPIの場合は、
今更ですが、ある案件で認証はあるもののファイルのアップロード作成があったので、改めて考えてみる。「ディレクトリトラバーサル」 HTTPのリクエストURIで../../etc/xxx等としてもこれはHTTPサーバーが400のBad Requestを返却する。RFC2616でリクエストURIは絶対パスと定義されているので、相対パスを指定した事で400のエラーステータスになる。 これをブラウザで試すと、ブラウザはHTTPのリクエストURIは、絶対パスでなければならないことをわかって作られているので、絶対パスに置き換えられてHTTPサーバーにリクエストを行うので、絶対パスが一致すれば200で応答し、一致しなければ404で応答が変えることになる。 ですので、通常はあまり意識することはないと思います。 しかし、ファイルのアップロード或いは引数からのファイルオープンの場合は、十分注意しなければならない。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く