Open hysryt opened 2 years ago
プリフライトリクエストはブラウザのセキュリティ機構の一つで、実際のリクエストを飛ばす前に仮のリクエストを送ることで Access-Control-Allow-Origin を確認できる。 これによってブラウザは実際のリクエストを送らずに済む。
Access-Control-Allow-Origin
CORSの仕組み上、Access-Control-Allow-Origin の確認はあくまでブラウザ側の仕事なので、実際のリクエスト送るとサーバー側はオリジンに関わらず処理してしまう。 脆弱性によってはリクエストが完了するだけ(レスポンスが不要)で攻撃が成功するパターン(CSRFなど)もあり、プリフライトリクエストはそれを防ぐための仕組みである。
参考 https://note.crohaco.net/2019/http-cors-preflight/
プリフライトリクエストはブラウザのセキュリティ機構の一つで、実際のリクエストを飛ばす前に仮のリクエストを送ることで
Access-Control-Allow-Originを確認できる。 これによってブラウザは実際のリクエストを送らずに済む。CORSの仕組み上、
Access-Control-Allow-Originの確認はあくまでブラウザ側の仕事なので、実際のリクエスト送るとサーバー側はオリジンに関わらず処理してしまう。 脆弱性によってはリクエストが完了するだけ(レスポンスが不要)で攻撃が成功するパターン(CSRFなど)もあり、プリフライトリクエストはそれを防ぐための仕組みである。参考 https://note.crohaco.net/2019/http-cors-preflight/