POSTMANを用いてのAPIテスト

現在、CORSの対策について個人的に勉強しているのですが
テストとしてPOSTMANを使ったGETリクエストで、自作のAPIに『アクセスURLにより許可する』場合と『はじく場合』のテストを
行えないか試行錯誤しています。

HeadersのOriginを詐称すればテストできるのかなと思いテストを行っているのですが
どうやらうまくいきません。(やり方が悪いのかもしれませんが）

セキュリティーについて無知で質問して申し訳ないのですが
そもそも、HeadersのOriginは詐称できるものなのでしょうか？

よくよく考えたらセキュリティーの考えから
詐称できてしまったらそもそもまずい気がしてきたので、
自分の考え自体が間違っている気がしてきたのでCORSに詳しい方回答いただきたいです。

またまたCurlでこうすればできるよーみたいな意見がもしあればほしいです。

行動規範の内容に同意します

回答1件

ベストアンサー

Originヘッダが詐称できるか否かは、ツールにより異なります。
ブラウザ（単体）の場合は詐称できません。詐称できると重大な脆弱性になってしまうからです。その意味で、以下の感覚は正しいです。

よくよく考えたらセキュリティーの考えから

詐称できてしまったらそもそもまずい気がしてきた

一方、当然、curlなどで通信する場合はOriginヘッダは自由に設定できます。

ならば、POSTMANはどうかということですが、あいにく私はPOSTMANを使ってないので、知りませんが、ざっと調べたところ、下記の記事に以下の記載がありました。

ChromeでAjaxリクエストをエミュレートするのに便利なPostmanですが、CORSでも使えます。ただし、単体ではOriginヘッダを書き換えられないので、Postman Interceptorプラグインが必要です。
CORSでハマったことまとめ - pixiv inside [archive] より引用

上記の記事によると、POSTMAN単体ではできないが、Postman Interceptorプラグインを使うとできるようになる、ということのようです。

投稿2020/07/03 01:19