SSRとSPAでCORS設計が変わる理由をブラウザセキュリティモデルから解説 同一オリジンポリシーとは何か SPAでCORSが必要になる理由 SSRではなぜCORSを意識しないのか CORSと認証の関係 プリフライトが性能に影響する SSRとSPAの設計判断 よくある失敗 まとめ …

SPAでCSRF対策が軽視されやすい理由とSameSite Cookieの影響 CSRFとはどんな攻撃か なぜSPAでは問題が見えにくいのか SameSite Cookieとは何か SPA特有の落とし穴 よくある誤解：Authorizationヘッダなら安全？ 対策：CSRFトークン なぜSameSiteだけでは不十…

SSRでXSS対策がより重要になる理由とテンプレートエスケープの関係 XSSとは何が起きている攻撃なのか なぜSSRの方が危険度が上がるのか テンプレートエスケープとは何か 危険なパターン：エスケープ無効化 JavaScript埋め込み時の落とし穴 なぜテンプレート…

SPAで認証実装が複雑化する理由とトークンリフレッシュ問題 なぜSPAはセッション認証をそのまま使えないのか アクセストークンとは何か なぜトークンは短命にする必要があるのか トークンリフレッシュ問題 リフレッシュトークンの役割 同時リクエスト問題 ト…

SSRでセッション管理が難しくなる理由とCookieの扱い まずCookieとセッションの関係を整理する SPAのときは何が起きていたか SSRでは通信経路が変わる なぜログインできない現象が起きるのか 解決方法：Cookieの転送（Forwarding） HttpOnly Cookieとセキュ…

APIキーが漏れると「サービスが壊れる」のではなく「あなたが請求される」 APIキーとは何か どうやって漏れるのか 見える場所に置いた時点で公開です 実際に起きる流れ なぜAIサービスで特に問題になるのか 「バレないのでは？」が危険な理由 正しい使い方 …