クロスオリジンリソースシェアリング(CORS)について
まず、CORSはWebブラウザ内でJavaScriptコードによって発行されるリクエストにのみ適用されます。
次に、このポリシーはリクエストの提出を阻止するものではありません。単にスクリプトがレスポンスにアクセスすることを阻止します。
POSTMANは開発ツールであるため、CORSの影響を受けません。もしPOSTMANからもURL APIにアクセスできない場合、その提供されたURL APIは全く役に立たないことを意味します。
コンテンツセキュリティポリシー(CSP)について
コンテンツセキュリティポリシー(CSP)は、ウェブサイト自体がサードパーティ(つまり、異なるオリジン)からのコンテンツを読み込むのを防止します。これは、Content-Security-Policy HTTPヘッダーを使用するか、HTMLメタタグを使用して定義されます:。
CSPは、サードパーティのコンテンツ(第三者のJS等)の読み込みを防止するためのものです。
CSRF(クロスサイトリクエストフォージェリ、跨站请求伪造)について
CSRFは、信頼されたユーザーからのリクエストを装うことで信頼されたウェブサイトを悪用する攻撃の一種です。攻撃者は、ウェブサイトのバックエンドの特定の機能インターフェースのリクエストアドレスを構築し、ユーザーをそのリクエストアドレスをクリックするよう誘導するか、特別な方法でそのリクエストアドレスを自動的に読み込ませます。ユーザーがログイン状態でそのリクエストがサーバーに受信されると、サーバーはそれをユーザーの正当な操作と誤認します。
GET形式のインターフェースアドレスは容易に攻撃される可能性があり、POST形式のインターフェースアドレスも完全に安全ではありません。攻撃者は、ユーザーをフォームが含まれたページに誘導し、POST方式でパラメータを送信させることができます。
CSRF防御
現在、CSRF攻撃の防御には主に三つの戦略があります:
HTTP Refererフィールドを検証する;
リクエストアドレスにトークンを追加して検証する;
HTTPヘッダーにカスタム属性を追加して検証する。