• このエントリーをはてなブックマークに追加

HTML5プロフェッショナル認定試験レベル2 サンプル問題

例題解説とその内容については、例題提供者の監修です。内容や試験問題に関わるお問い合わせにつきましては、LPI事務局ではお応えできませんのでご了承ください。
例題解説のご提供者さまを募集中です。LPI-Japan事務局までぜひご投稿ください。選ばれた方の例題解説は本サイトに掲載させていただきます。

2.9 セキュリティモデル

例題9.1 「2.9.1 クロスオリジン制約とCORS」
レベル1の出題範囲「2.9.1 クロスオリジン制約とCORS」からの出題です。
JavaScriptからクロスオリジンでHTTP通信を行う際に、サーバーのHTTP レスポンスにおいて、クロスサイト方式でアクセスを承認するドメインを指定するために使用するヘッダーは以下のどれか?
  • Access-Control-Request-Method ヘッダー
  • Access-Control-Allow-Origin ヘッダー
  • Access-Control-Allow-Methods ヘッダー
  • Access-Control-Allow-Headers ヘッダー

※この例題は実際のHTML5プロフェッショナル認定試験とは異なります。

答えはこちら

正解 B
A. Access-Control-Request-Method ヘッダー
これはCross-Origin Resource Sharing を使用するためにHTTP リクエストを発行する際にクライアントが使用するヘッダーで、実際のリクエストを行う際に使用するHTTPメソッドをサーバーがわかるようにするために、プリフライトリクエストを発信する際に使用するものです。

C. Access-Control-Allow-Methods ヘッダー
サーバーがリソースのアクセス時に許可するメソッドを指定します。これはプリフライトリクエストのレスポンスで用いられます。

D. Access-Control-Allow-Headers ヘッダー
実際のリクエストでどのHTTPヘッダーを使用できるかを示すためにプリフライトリクエストのレスポンスで使用します。

同一オリジンポリシーとは、あるオリジンから読み込まれた文書やスクリプトについて、そのリソースから他のオリジンのリソースにアクセスできないように制限するものです。同一オリジンポリシーは Web セキュリティにおける重要な仕組みであり、悪意ある行動を起こしかねないリソースの分離を目的としています。
2 つのページにおいてスキームとポート(あれば)、及びホストがそれぞれ等しい場合、両者のページは同一のオリジンを有していると見なします。
セキュリティ上の理由からブラウザは、スクリプトによって開始されるクロスオリジン HTTP リクエストを制限します。
この制限はかなり厳しいため、CORS(Cross-Origin Resource Sharing) というWeb サーバーがドメインをまたぐアクセスを制御する方法が規定されました、これにより、ドメイン間の安全な通信を保証するというものです。CORS を使用する現行のブラウザは、クロスオリジン HTTP リクエストの危険性を緩和するために XMLHttpRequest のような API コンテナ 内で CORS を使用します。
プリフライト リクエストとは、始めに、実際のリクエストを送信しても安全かを確かめるために他ドメインのリソースへ向けて OPTIONS メソッドを使用して HTTP リクエストを送信します。クロスサイトリクエストはユーザーデータに影響を与える可能性があるため、このようにプリフライトを行います。

出題範囲の詳細

例題解説の提供:HTML5アカデミック認定校 株式会社クリーク・アンド・リバー社
HTML5レベル2認定者 伊藤 眞 氏

 
 

このページの先頭へ