CORSの仕様はなぜ複雑なのか

Webアプリケーションを実装していると高確率で CORS の問題にぶつかります。CORSがどのようなものかはリンクしたMDNなど既存の解説を読むのが手っ取り早いと思いますが、「なぜそのように設計されたのか」という観点での説明はあまり見ないため、昔の資料の記述や現在の仕様からの推測をもとに整理してみました。 CORSとは 現代のWebはドメイン名をもとにした オリジン (Origin) という概念 (RFC 6454) をもとに権限管理とアクセス制御を行っています。その基本となるのが以下のルールです。 Same-origin policy (同一生成元ポリシー): 同じオリジンに由来するリソースだけを制御できる。 上記Wikipedia記事によるとSOPの概念は1995年のNetscape 2.02に導入されたのが最初のようです。当時のドキュメンテーションを読む限り、これはウインドウ越しに別

[ockeghem]

CORSがなぜこうなっているのかの推測。私の動画も見ていただければ。この記事にない内容もあります https://www.youtube.com/watch?v=ryztmcFf01Y

[masa8aurum]

“「なぜそのように設計されたのか」という観点での説明”

[carolina04]

“CORSはSOP (同一生成元ポリシー) の例外として、相手側オリジンの許可を得ることでリクエストを可能にするプロトコルである。 歴史的経緯によりCORSを使わずにクロスオリジンリクエストを実行できる仕組みも”

[efcl]

CORSとSimple Requestについて

[Altech_2015]

CORS の項は確かに MDN を読むだけだと満足できない部分ですね。良い記事。

[missundaztood]

“被害”

[rizmhate]

新人の頃に読みたかったやつ

[securecat]

SOP/CORSそれぞれの発音を知りたい

[morita_non]

そもそもの仕様が全然頭に入ってこない…

[masatotoro]

cordが分かる

[pascal256]

後で読む。てかCORSがにわかに話題に。。。？

[mzkh]

WebやCORSの仕組みを正しく理解し、スムーズに実装するための解説

[masaki925_8107]

CSRFトークンの検証はcookieと書いてしまうと語弊がありそう、サーバーサイド側でハンドリングすべきものなので

[mayumayu_nimolove]

Because…

[onesplat]

よくわからない記述もあるが全体的にはいい記事。何故そうなっているのか、の説明は希少で貴重。