こちらの資料にて以下のような記述が有るのですが。このCookieはサーバーサイドのセッションとして扱っていいのでしょうか?
https://www.jpcert.or.jp/research/HTML5-20131030.pdf
特定のオリジンからのみ画像コンテンツへのアクセスを許可したい場合には、Origin リクエストヘッダおよび Access-Control-Allow-Origin レスポンスヘッダの指定に加えて、従来どおり Cookie を使用しなければなら ない。Cookie を使用せず、Origin リクエストヘッダおよび Access-Control-Allow-Origin レスポンスヘッダの 指定だけでは、攻撃者が、ブラウザの替わりにツールなどを使用して任意の Origin リクエストヘッダを付与し たリクエストを送信することにより、JavaScript を経由せずに直接画像にアクセスすることが可能だからであ る。
読み解いた自分なりの考えを述べると、トークン等を設置しないと偽造オリジンリクエストヘッダを使う事でAccessが出来てしまうからクッキーを使うべき
とゆう解釈に至りました。
つまり、以下のいずれかの方法を取ることで上記問題は解決すると思っています。
・クライアントではPOSTにサーバーから提供された一時的なトークンを含む
・サーバーから提供された一時的なトークンをクッキーに添付しサーバー通信を行う
このような解釈で有っているかご教授願います。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/12/08 10:10