akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

4/28 XMLHttpRequest、CORS

セキスペの試験も終わったことなので、CTF学習と同時進行で徳丸本も読み進める
そのためのメモ

XMLHttpRequestとは
webサーバから受け取ったwebページから、javascriptなどのブラウザ搭載のスクリプト言語からさらに送信されるHTTPリクエスト、もしくはその機能、API

CORS(Cross-Origin Resource Sharing)とは
異なるサイト間(FQDN間)でデータをやりとりするための仕様
異なるオリジンとのデータ交換が可能になる

プリフライトリクエストとは
生成元をまたいだリクエストを行う前に、そのリクエストが受け入れられるかどうかを事前にチェックする。
特定のメソッド以外を使用したり、特定のヘッダ以外のヘッダを送信しようとする際
ブラウザからAPIサーバにプリフライトリクエストがOPTIONメソッドで送信される

サーバはそのヘッダに応答するためのレスポンスヘッダを用意する必要がある

てか
思いっきりセキスペ2019春の午後Iの設問1に出ていた...
試験当日までに徳丸本をここまで進めておけば...