1. このページの目的
Cross-Site Tracing (XST) を観察する。
具体的には、実はそんなに怖くないTRACEメソッド | 徳丸浩の日記 を試すが、いくつかコードを追加する。
XMLHttpRequest: open() や Fetch API で TRACEメソッドが使えないことは分かっているが、やってみる。
2. Demo
ボタンを押すと、リクエストに対して返ってきたレスポンス内容が表示される。
各リクエストに対して、まともなレスポンスが返ってくるかを確認する。
結論
- XMLHttpRequest: open() や Fetch API では、やはり TRACEメソッドが使えないようになっている。
- なので、XSTは起きない。メソッドの名前を "\nTRACE" にしても同様に動かない。
3. JavaScriptコード
このページのソースを参照。