http://example.jp/33/33-001a.htmlで異なるオリジンからのレスポンスを参照できない

[naoto]

徳丸様

お世話になっております。

p86のAccess-Control-Allow-Originのサンプルが正しく挙動しておりません。

firefoxにて、http://example.jp/33/33-001a.htmlにアクセスすると、クロスオリジン要求として、http://api.example.jp/33/33-002a.phpへのアクセスをブロックしてしいます。

開発者ツールには「理由: CORS ヘッダー ‘Access-Control-Allow-Origin’ が足りない」と記載されています。

http://api.example.jp/33/33-002a.phpに直接アクセスすることはできました。

また、http://example.jp/33/33-003.htmlにアクセスした場合も、

クロスオリジン要求としてブロックされます。

同様に、開発者ツールでは「理由: CORS ヘッダー ‘Access-Control-Allow-Origin’ が足りない」と記載されます。

原因や対処方法がありましたら、ご教授いただけますでしょうか。

以上、よろしくお願いいたします。

[徳丸浩]

naotoさん

徳丸です。質問拝見しました。

一つ考えられる原因は、httpではなくhttpsのアクセスになっている可能性です。

以下の記事は読まれて設定されましたか?

https://wasbook.org/owaspzap_2.8.0.html

それでも解決しない場合は、添付画像のように、33-002a.php アクセスのレスポンスヘッダを送ってください。

2022年1月7日(金) 20:18 naoto <otoa...@gmail.com>:

--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/7743aac6-c06d-4299-97a2-17a754b66b7bn%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[naoto]

徳丸様

ご返信ありがとうございます。

確認しましたところ、アクセスはhttpになっておりました。

owaspzapの設定も、記事と相違ありませんでした。

アクセスのレスポンスヘッダの画像を添付いたします。

【要求ヘッダ】

GET /33/33-002a.php HTTP/1.1
Host: api.example.net
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
Accept: */*
Accept-Language: ja,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Origin: http://example.jp
Connection: keep-alive
Referer: http://example.jp/

【応答ヘッダ】

HTTP/1.1 502 Bad Gateway
Content-Type: text/plain; charset=UTF-8
Content-Length: 1669

何か原因がわかりましたら、ご教授いただけますと幸いです。

以上、よろしくお願いいたします。

2022年1月17日月曜日 22:08:18 UTC+9 徳丸浩: