HTTP
@Jxckさんの記事を読んで、現代におけるCSRF対策を学んだ blog.jxck.io 記事の趣旨は、Cookie が SameSite Lax by Default になったので「CSRF」は古の攻撃になったのか、何もしなくていいのかという話 CSRFの問題は「攻撃者の form からのリクエストにも SN…
こちらの記事を読んで新HTTP標準について知ったのでメモ postd.cc 今の問題として、CDNなどのキャッシングサービスによる静的コンテンツのキャッシュは重要だが複雑でわかりにくい なので、これを整備しようという話 記事ではいくつか問題点が挙げられている…
418のステータスコードが「418 I’m a tea pot」と聞いて知らなかったので調べた asnokaze.hatenablog.com 知らなくてよかったかもだが、 ステータスコード 418「 I’m a tea pot」は、エイプリルフールに発行されたジョークRFCであるRFC2324「Hyper Text Coff…
QUERYという新しいHTTPメソッドの仕様が議論されているらしい datatracker.ietf.org こちらの記事で知った asnokaze.hatenablog.com QUERYはリクエストボディ(コンテンツ)を送ることができる冪等性の保証されたリクエストメソッドとのこと 目的 GETリクエ…
「CDN-Cache-Control」 ヘッダという仕様が提案されていること知ったので調査する こちらの記事が参考になった asnokaze.hatenablog.com 中継サーバーのキャッシュはCache-Control: max-age, s-max-ageで制御できるが、CDNサーバー専用のキャッシュを制御す…
HTTP/1.1には仕様が新旧2つあって、この新旧の違いとしてCache-Controlが明確にHop-by-hopではないという記述がなくなったという話を聞いたのでメモしておく 古い方のRFC 2616ではHop-by-hopのヘッダーの記述がある https://tools.ietf.org/html/rfc2616#sec…
stale-while-revalidate(SWR)というキャッシュの仕組みをしったので調べた blog.jxck.io これまでのCache-Control, Expiresでのキャッシュの場合、有効期限を長くするとURLを変えない限り更新されなくなってしまうし、短くするとリクエストが頻繁に発生し…
max-ageとs-max-ageがわかっていなかったので調査 max-age max-ageはprivateキャッシュ・publicキャッシュ向けのキャッシュの寿命を指定するディレクティブ 例えば、Cache-Control: max-age=1000の場合、中継サーバ(CDNなど)もブラウザも1000秒キャッシュ…
あるページ回遊中にブラウザバックをすると挙動がおかしいバグに遭遇した 調べるとどうやらキャッシュしない方が良いところでキャッシュされていたのが原因のよう ところで、キャッシュをしない設定というのはCache-Control: no-storeで制御が可能だが、Cach…
キャッシュと非キャッシュプロキシの振る舞いを定義する目的のために、ヘッダーフィールドを2つのカテゴリに分類していることを知った developer.mozilla.org End-to-end リクエストであればサーバー、レスポンスであればクライアントのように最終的な宛先…
Etag 304 というワードを使っている人がいてEtagは知っていた気になっていたが、304?となったので調査 ETag(エンティティタグ)は、HTTPにおけるレスポンスヘッダの1つで、RFC2068のHTTP/1.1で追加された シーケンシャルな更新日時と違って、ファイルに関…