質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.51%
GET

GETとはHTTPが対応するリクエストメソッドの一つです。クライアントからサーバーへ送られたURLパラメータのデータを取得する時必要がある時に使われます。

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

POST

POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

Q&A

1回答

545閲覧

クロスオリジンアクセス制限について。

TetTet

総合スコア6

GET

GETとはHTTPが対応するリクエストメソッドの一つです。クライアントからサーバーへ送られたURLパラメータのデータを取得する時必要がある時に使われます。

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

POST

POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

0グッド

2クリップ

投稿2017/12/06 10:13

こちらの資料にて以下のような記述が有るのですが。このCookieはサーバーサイドのセッションとして扱っていいのでしょうか?
https://www.jpcert.or.jp/research/HTML5-20131030.pdf

特定のオリジンからのみ画像コンテンツへのアクセスを許可したい場合には、Origin リクエストヘッダおよび Access-Control-Allow-Origin レスポンスヘッダの指定に加えて、従来どおり Cookie を使用しなければなら ない。Cookie を使用せず、Origin リクエストヘッダおよび Access-Control-Allow-Origin レスポンスヘッダの 指定だけでは、攻撃者が、ブラウザの替わりにツールなどを使用して任意の Origin リクエストヘッダを付与し たリクエストを送信することにより、JavaScript を経由せずに直接画像にアクセスすることが可能だからであ る。

読み解いた自分なりの考えを述べると、トークン等を設置しないと偽造オリジンリクエストヘッダを使う事でAccessが出来てしまうからクッキーを使うべき
とゆう解釈に至りました。

つまり、以下のいずれかの方法を取ることで上記問題は解決すると思っています。

・クライアントではPOSTにサーバーから提供された一時的なトークンを含む
・サーバーから提供された一時的なトークンをクッキーに添付しサーバー通信を行う

このような解釈で有っているかご教授願います。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

以下は、この解釈で問題ないと思います。

読み解いた自分なりの考えを述べると、トークン等を設置しないと偽造オリジンリクエストヘッダを使う事でAccessが出来てしまうからクッキーを使うべき

とゆう解釈に至りました。

しかし、以下はちょっと意味が分かりませんでした。

つまり、以下のいずれかの方法を取ることで上記問題は解決すると思っています。
・クライアントではPOSTにサーバーから提供された一時的なトークンを含む

・サーバーから提供された一時的なトークンをクッキーに添付しサーバー通信を行う

クッキーと言うのは、サーバー側でSet-Cookieするものです。何らかの方法で、画像提供側でトークンなりセッションIDのクッキーをSet-Cookieする必要があります。そして、画像提供の際に、セッションIDなりトークンをチェックして、OKなら画像コンテンツを送信するようにします。
しかし、JPCERT/CCのドキュメントどおりにやっても、画像側のクッキーは送信されません。その理由は、おそらくHTML5の仕様が流動的な段階で書かれたドキュメントなので、その後仕様が変更されたからだと推測します。
下記のように、crossorigin="use-credentials" を指定する必要があります。

HTML

1<img id="img" src="http://other.example.jp/d/sample-image.php" crossorigin="use-credentials">

そして、画像提供側では、以下のレスポンスヘッダを送信する必要があります。こちらは、通常のCORSと同じですね。

HTTP

1Access-Control-Allow-Origin: http://example.jp 2Access-Control-Allow-Credentials: true

投稿2017/12/06 11:50

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

TetTet

2017/12/08 10:10

御回答ありがとうございます、大変為になるお話し、参考にさせていただきます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.51%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問