前回の記事
今回の対象範囲
同一オリジンポリシー
受動的攻撃に対するブラウザの防御戦略のこと。
受動的攻撃にはログイン中の利用者に同一オリジンの正規サイトにアクセスさせて不正操作(CSRF)したり、
正規サイトからのレスポンスによりブラウザを介して攻撃するXSSやHTTPヘッダインジェクションなどがある。
サイトをまたがった攻撃で同一でないオリジンからのアクセスを禁止するブラウザの制限機能(ポリシー)である。
オリジンとはプロトコル、ホスト名(サブドメイン)、ドメイン、ポートのことで、
これらが全て同一であれば同一オリジンと言うことができる。
CORS(Cross-Origin Resource Sharing)
同一オリジンポリシーの制限を超えたデータのやりとりをするための仕様のこと。
- XMLHttpRequestを使う(それ以外でもOKだが一般的?)
- HTTPヘッダにパラメータを付与する
スライド
まとめ
今回も7分程度の発表で詰め込んだのである程度の基礎知識がないと何を言ってるのかわからない状態になったかもしれない。
要望にもあったが実際に動かしたものを見たいと言われた。
次回は内容は薄めにしてデモプレイをしようかな。