H31春SC午後Ⅰ問1(Webサイトのセキュリティ)を解いた

H31春SC午後Ⅰ問1(Webサイトのセキュリティ)を解いた
37分、見直しに9分かかった。
設問1 (1) Same-OriginとSame-Site で迷った。
Same-SiteはCSRF攻撃を防ぐためCookieに設定する属性で異なるサイトからのリクエストでCookieが送信されるか制御できる。
Same-Originはブラウザのポリシー。

設問2 Cookieってサーバから送られるものじゃないの!? サーバが発行するけど、クライアントがそれを保存して内容を更新するのか。

設問3 (2)メインリクエストのOriginヘッダフィールドの値かと思ったらプリフライトリクエストのOriginヘッダフィールドの値らしい。「確認できない場合はメインリクエストを送らない」と書いてあるところから判断できればよかった。