CORS学習まとめ

CORS(cross origin resource sharing)

単純な構造のWebでは、1つのoriginがリクエストと応答を発行しますが、現在使用されているほとんどのWebでは、1つのページから複数のoriginからのリソースがリクエストされ、受信されます.これは、ユーザーの観点から、Cross Originという単一のソースで、ユーザーが複数のソースとリソースを交換できるようにするポリシーが、ソース間のリソース共有であるため、セキュリティに問題が発生する可能性があります.
基本的にCrossoriginでのリクエストは限られていますが、開発者たちはブラウザメーカーにWebアプリケーションの開発を向上させるためにCrossoriginリクエストを行うように要求しています.したがって、Crossoriginのリクエストは、サーバが許可する範囲で許可されます.
十字線の許可について

const defaultCorsHeaders = {
	'access-control-allow-origin: "*",
    'access-control-allow-mehtod: 'GET, POST, PUT, DELETE, OPTIONS',
    'access-control-allow-headers: 'content-type, accept',
    'access-control-allow-origin: 10,
}

次の情報を見出しに追加して、CORSポリシーを適用できます.
access-control-allow-origin:許可されたoriginリスト.*すべてのアヒルの陣を表す.
access-control-allow-method:許可されたメソッドのリスト.
access-control-allow-headers:許容されるタイトルタイプ.
access-control-allow-origin:preflightリクエストを許可する時間.
10の場合、preflightリクエストは10秒前に応答でき、必要に応じて拒否されます.
通常、OPTIONメソッドは、プライマリ要求が発行される前にpreflight要求に送信される.
この応答が正常に終了すると、プライマリ・リクエストが送信されます.これは、サーバがCORSポリシーを満たしているかどうかを事前に確認するためのCORSポリシーのプロセスです.