Q&A
で、この質問って解決済みとなるためには
どのような回答を想定されてますか?
とある個人用WebアプリのサーバーサイドAPIを開発しています。
CORSの設定で、運用予定のプロダクション用ドメインの他に、デバッグ目的で localhost:8080 を許可した場合、どのような脆弱性が考えられるでしょうか。
クライアントサイドでは 認証のためにJWTトークンをlocalStorageに格納したSPAを運用する予定です。
回答2件
0
ベストアンサー
CORS単体で見れば問題はないと思います。
というのは、CORSというのは、正規利用者に対する受動的な攻撃への防御だからです。
localhost:8080を許可することによる問題は、正規利用者が localhost:8080 上にある罠サイトに誘導されて、そこから当該サイトの情報を盗まれる等です。しかし、localhost上に罠サイトを作ることは通常不可能なので、それによるリスク増はあまりないと考えられます。
投稿2020/10/22 07:02
総合スコア11701
ありがとうございます!
0
全世界にlocalhostは数え切れないくらいあるのでそこでホストされているWebサーバーのページからリクエストできてしまいますよ。
投稿2020/10/22 05:35
編集2020/10/22 05:36総合スコア7914
回答ありがとうございます。
例えば、リクエストされることそのものは許容し、
バックエンドで十分にバリデーションを行っていたり、しっかり認証・認可系を実装して攻撃への対策をしていたとすればどうでしょうか。
>どのような脆弱性が考えられるでしょうか。
という質問に対しての回答したのみなので、
個別の具体的な問いに関しては、別途質問された方が良いと思いますよ。
あなたの回答
tips
プレビュー
