[解決済み] Access-Control-Expose-Headersはなぜ必要なのですか?
2022-03-13 01:17:03
質問
なぜこれが追加されたのか、具体的なセキュリティ上の理由を知りたかったのです。corsを実装しているときに、返されるすべてのヘッダーを見ることができましたが、javascript経由でアクセスすることができなかったので、WTHのような瞬間でした...
解決方法は?
CORSは、CORS以前の同一オリジンのみの世界での前提を崩さないように実装されています。
CORS以前の世界では、クライアントはクロスオリジンリクエストを引き起こすことができましたが(例えば、スクリプトタグを介して)、応答ヘッダーを読むことはできませんでした。
CORS がこの前提を崩さないようにするため、CORS 仕様では、クライアントがこれらのヘッダを読み取るための明示的な許可をサーバーが与えることを要求しています。
Access-Control-Expose-Headers
ヘッダー)。こうすることで、不正なCORSリクエストは、CORS以前の世界と同じように動作します。
関連
-
[解決済み] Access-Control-Allow-Originヘッダーはどのように機能するのですか?
-
[解決済み] 私のJavaScriptコードは "No 'Access-Control-Allow-Origin' header is present on requested resource "というエラーを受け取りますが、Postmanはそうならないのはなぜですか?
-
[解決済み] Access-Control-Allow-Origin複数オリジンのドメイン?
-
[解決済み] REST APIからデータを取得しようとしたときに、要求されたリソースに'Access-Control-Allow-Origin'ヘッダーが存在しない。
-
[解決済み] OPTIONSルートにCORSヘッダを追加しても、ブラウザが私のAPIにアクセスできないのはなぜですか?
-
[解決済み] プリフライト要求に対する応答がアクセス制御チェックを通過しない
-
[解決済み] リクエストヘッダーフィールドAccess-Control-Allow-Headersはプリフライトレスポンスでそれ自身は許可されません。
-
[解決済み】ASP.net Core WebAPIでCORSを有効にする方法
-
[解決済み】リクエストヘッダーフィールドのAccess-Control-Allow-Headersが許可されない。
-
[解決済み] Dev Tools NetworkでPre-flightリクエストをフィルタリング(非表示)する方法
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン