0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

Cross-Origin Resource Policy (CORP)

Last updated at Posted at 2021-06-04

Cross-Origin Resource Policy (CORP)

とは何か

元来Web上のリソースは他のオリジンからのリクエスト(<script>, <img> etc.)応答に対しオープンなものだったが、
Webの用途・技術・APIの高度化に伴い、この「オープンさ」がセキュリティリスクを孕むようになった。

Cross-Origin Resource Policy (CORP)は、これらリソースへのリクエストに対し許可する範囲(同一サイト(same-site) or 同一オリジン(same-origin) or 誰でも(cross-origin))を公開ポリシーとして指定することで、悪意あるサイトによって不正に情報が搾取されるなどのリスクから自サイトとそのユーザを保護できるようにした仕組みのことである。

Cross-Origin Resource Sharing (CORS)との違い

Cross-Origin Resource Policy (CORP)は、上述の通りリクエストの受け付ける範囲を制限するもの。(これにsame-site/same-originが設定されると、そもそもクロスオリジンリクエストが成立しない。)
一方Cross-Origin Resource Sharing (CORS)は、(クロスオリジンリクエストがCross-Origin Resource Policy (CORP)によって制限されていないことを前提に)クロスオリジンリクエストに対して「どのオリジンから」「どのような」リクエストを許可するかを設定する。

設定方法

サーバサイドからHTTPレスポンスヘッダで指定する。

Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin

指定可能な値は以下(制限が厳しい(i.e. 安全な)順)

  • same-origin: 同一オリジン(http/https、サブドメイン、ポートまで揃える必要がある)
  • same-site: 同一サイト
  • cross-origin: クロスオリジン(誰でも)

注意点

前述の通り、通信そのものはレスポンスヘッダが付加されただけで
レスポンスの保護自体はWebブラウザがレスポンスデータを受け取ったあと
レスポンスボディが空だったかのように扱うことで実現される。

したがって、例えばブラウザを利用しないテキストベースのリクエストからであれば普通に中身が見れる。
(ただ、個人情報などは通常ログインが必要なはずで、であればCookieなどの認証情報が必要となり、そしてその情報はブラウザが暗号化を施した上でローカルに保存しているはずなので、よっぽどのことがない限り大丈夫。)

防げるセキュリティ上の脅威

  • Spectreを含む)サイドチャネル攻撃
  • クロスサイト・スクリプト・インクルージョン(XSSI: Cross-Site Script Inclusion)

参照

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?