/home/by-natures/dev*

ソフトウェア開発者としての技術的なメモと、たまに普通の日記。

2019/04/01 CORS

他サーバからアクセスしてもらうエンドポイントを追加したのですが、その際に CORS が必要だったので設定した際の記録です。

説明

medium.com

dev.classmethod.jp

Tomcat での対策

Tomcat なら web.xml のフィルタ機能で CORS 対策ができます。7系の途中から追加されているため、7系の場合はバージョンに注意してください。

cors.allowed.origins* が指定できますが、その場合は Access-Control-Allow-Credentials を true にしていてもクッキーのやりとりができません。クッキーのやりとりを行うためには cors.allowed.origins にドメイン、プロトコル、ポートなどのアクセス情報を個別に記述する必要があります。

tomcat.apache.org

CSRF 対策

CSRF 対策に、CORS の preflight の機能を使う説明。preflight なんて何に使うんだろうと思っていましたが、認証のような役割を果たすようです。

numb86-tech.hatenablog.com