フロントエンドエンジニア必見！脆弱性の仕組みと対策方法を解説 (1/3) CodeZine（コードジン）で気になった単語等をピックアップ。

プリフライトリクエスト

CORSの仕組みをもってしても、防げない攻撃がある。サーバーのデータを更新・削除するようなHTTPリクエストを送ってしまうときだ。Webブラウザからサーバーに、データを更新・削除するようなHTTPリクエストを送ると、サーバーはCORSのヘッダを付けたレスポンスをWebブラウザに返信するが、データの更新・削除は止められない。

Optionsを事前に送信する手法。（なんでoptionリクエストが送信されたいたか判明）

Strict CSP

CSP: script-src - HTTP

サーバー「Content-Security-Policy」を返却する。フロントで下記を対応する。

Add a nonce attribute to all
Refactor any markup with inline event handlers (onclick, etc.) and javascript: URIs (details).
For every page load, generate a new nonce, pass it the to the template system, and use the same value in the policy.

よもやま

nonceの意味がBritishだと過激

〈英俗〉性的異常者、強姦犯人、幼児に性的いたずらをした犯罪者〈米俗〉ナンセンス、たわ言、くだらない［ばかげた］話［こと］