http://example.jp/33/33-001a.htmlで異なるオリジンからのレスポンスを参照できない

35 views
Skip to first unread message

naoto

unread,
Jan 7, 2022, 6:18:08 AMJan 7
to 「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML
徳丸様

お世話になっております。

p86のAccess-Control-Allow-Originのサンプルが正しく挙動しておりません。

firefoxにて、http://example.jp/33/33-001a.htmlにアクセスすると、クロスオリジン要求として、http://api.example.jp/33/33-002a.phpへのアクセスをブロックしてしいます。
開発者ツールには「理由: CORS ヘッダー ‘Access-Control-Allow-Origin’ が足りない」と記載されています。

http://api.example.jp/33/33-002a.phpに直接アクセスすることはできました。

また、http://example.jp/33/33-003.htmlにアクセスした場合も、
クロスオリジン要求としてブロックされます。
同様に、開発者ツールでは「理由: CORS ヘッダー ‘Access-Control-Allow-Origin’ が足りない」と記載されます。

原因や対処方法がありましたら、ご教授いただけますでしょうか。
以上、よろしくお願いいたします。

徳丸浩

unread,
Jan 17, 2022, 8:08:18 AMJan 17
to wasbook...@googlegroups.com
naotoさん

徳丸です。質問拝見しました。

一つ考えられる原因は、httpではなくhttpsのアクセスになっている可能性です。
以下の記事は読まれて設定されましたか?


それでも解決しない場合は、添付画像のように、33-002a.php アクセスのレスポンスヘッダを送ってください。



2022年1月7日(金) 20:18 naoto <otoa...@gmail.com>:
--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/7743aac6-c06d-4299-97a2-17a754b66b7bn%40googlegroups.com にアクセスしてください。


--
temp.png

naoto

unread,
Jan 31, 2022, 6:54:03 AMJan 31
to 「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML
徳丸様

ご返信ありがとうございます。
確認しましたところ、アクセスはhttpになっておりました。
owaspzapの設定も、記事と相違ありませんでした。

アクセスのレスポンスヘッダの画像を添付いたします。

【要求ヘッダ】
GET /33/33-002a.php HTTP/1.1
Host: api.example.net
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
Accept: */*
Accept-Language: ja,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Origin: http://example.jp
Connection: keep-alive
Referer: http://example.jp/

【応答ヘッダ】
HTTP/1.1 502 Bad Gateway
Content-Type: text/plain; charset=UTF-8
Content-Length: 1669

何か原因がわかりましたら、ご教授いただけますと幸いです。

以上、よろしくお願いいたします。


Screenshot from 2022-01-31 20-46-48.png

2022年1月17日月曜日 22:08:18 UTC+9 徳丸浩:
Reply all
Reply to author
Forward
0 new messages