こんにちは、 @kz_morita です。 最近， Web配信の技術 - HTTPキャッシュ・リバースプロキシ・CDNを活用する の本を読んでいて，Cache-Control 難しいなと思ったのでメモがてらまとめます． Web配信の技術 - HTTPキャッシュ・リバースプロキシ・CDNを活用する Cache-Control ヘッダー HTTP でキャッシュに関係する設定を行うヘッダーです．リクエスト時とレスポンス時の両方に指定できるようです． リクエスト時 Cache-Control: max-age=<seconds> Cache-Control: max-stale[=<seconds>] Cache-Control: min-fresh=<seconds> Cache-Control: no-cache Cache-Control: no-store Cache-Control: no-transform Cache-Control: only-if-cached レスポンス時 Cache-Control: must-revalidate Cache-Control: no-cache Cache-Control: no-store Cache-Control: no-transform Cache-Control: public Cache-Control: private Cache-Control: proxy-revalidate Cache-Control: max-age=<seconds> Cache-Control: s-maxage=<seconds> また，対応していないブラウザもありますが，以下の拡張もあります． Cache-Control: immutable Cache-Control: stale-while-revalidate=<seconds> Cache-Control: stale-if-error=<seconds> https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Cache-Control RFCは HTTP/1.1: キャッシュ処理 (日本語訳) で仕様が策定されています． キャッシュの種類 キャッシュの性質による種別について書いていきます． キャッシュには，private と shared があります．

こんにちは、 @kz_morita です. Webサービスを作る上で考慮しなければいけないもののひとつとしてセキュリティがあげられます． 今回は，セキュリティ周りの HTTP Header についてまとめます． X-Frame-Options HTTP Response Header で，X-Frame-Options をつけると他のページ上の iframe から読み込まれることを許可するかどうかを指定できます． DENY か，SAMEORIGIN を指定することが出来ます． X-Frame-Options: DENY | SAMEORIGIN このヘッダはクリックジャッキング攻撃を防ぐ目的で使用することができます． 参考 X-Frame-Options X-Content-Type-Options HTTP Response Header で, X-Content-Type-Options を指定すると，MIME スニッフィングを抑制することが出来ます．MIME スニッフィングとは，ブラウザーがリソースの MIME タイプが誤って設定されていると判断したときに，自動でリソースを確認して，正しい MIME タイプを推測することです． このスニッフィングを抑制することで XSS を使った攻撃のリスクを減らすことが出来ます． nosniff を指定することが出来ます． X-Content-Type-Options: nosniff 参考 X-Content-Type-Options MIME タイプ Strict-Transport-Security いわゆる HSTS というやつです． HTTP Strict Transport Security を利用し，HTTP Response Header をすることで，ブラウザに対して HTTP から HTTPS に自動的に変換する必要があることを通知することができます． max-age が必須で，includeSubDomains と preload が Optional な項目です．

こんにちは、 @kz_morita です。 今回は，現在実装しているサービスで遭遇したエラーとそれについて調べる過程で調査した，HTTP の Preflight request についてまとめていきます． 発生したエラー 前提として，いま開発しているサービスは，Web Server と，API Server が別れています． (つまり https://example.com と https://api.example.com のようにドメインが別になっています) そして，普通に API に対して GET リクエストを送っていたときは問題なかったのですが，POSTリクエストを送ろうとしたときに以下のようなエラーが発生しました． Request header field content-type is not allowed by Access-Control-Allow-Headers in preflight response. エラーメッセージからどうやら CORS 系のエラーだろうなと思って調べたところ，どうやら Preflight request (OPTIONS) が飛んでいて，その影響で API Server (正確にはその前にいた nginx ) の Access-Control-Allow-Headers に Content-Type が記載されていなかったことが原因でした． Preflight request とは Preflight request とは，CORS (Cross-Origin Resource Sharing) の中でブラウザが自動で飛ばすリクエストで，特定の条件を満たすと Chrome の Network タブなどに OPTIONS という HTTP Method でリクエストが投げられていることが確認できます．