Closed mei23 closed 11 months ago
でも実際は、クライアントのプリフライトで許可要求はあくまでもContent-Type
サーバー側はContent-Type
はデフォルト許可済みなので許可になるから問題ないっぽい。
Content-Type
かつapplication/json
は、プリフライト要求
でもプリフライトでContent-Type
の値は感知しない仕様はもやるのだわ
POST Content-Type: text/plain ↓ 単純リクエストに該当するので追加の確認不要→わかる
POST Content-Type: application/json ↓ 追加制約としてこれは単純リクエスト扱いされないので、事前にプリフライトリクエストで送信して安全か確かめる→わかる
プリフライトリクエストでは、Content-Typeでどの種類で送るか指定できない。
プリフライトリクエストを受け取ったサーバーでは、Content-Typeはデフォルト許可対象でそれ以上判断材料がないので常に許可される。
application/json周りの追加制約とプリフライトリクエストは何のための仕様?何の効果がある?ってなる
💡 Summary
APIのCORS
Content-Type: application/json
はCORS-safelisted request-header
じゃない プリフライトリクエストが発生する Content-Typeって許可しなくていいのか?