この記事はSPA + WEB_APIで構築するWEBサービスのセキュリティの脆弱性を考える時に必ず出てくる、CSRF対策やCORSの考察をした記録です。 SPAでWEBサイトを構築する方、または既に持っていて脆弱性がないか調べている時にお役に立てる内容となります。 CSRFについてはこちらのサイトがとてもわかりやすいです。 https://qiita.com/okamoai/items/044c03680766f0609d41 大前提 ブラウザで非同期通信を行う際には、同一生成元ポリシー(Same Origin Policy)によってWebページを生成したドメイン以外へのHTTPリクエストができません。 SPA + WEB_APIのパターンなど異なるドメインのリソースにアクセスしたいという需要があります → 昔はJSONP使ってたがセキュリティだめ → より手軽に、より安全にクロスドメイン