CORS(Cross-Origin Resource Sharing、クロスオリジンリソース共有)とは？意味をわかりやすく簡単に解説

text: XEXEQ編集部

CORS(Cross-Origin Resource Sharing、クロスオリジンリソース共有)とは
CORSの仕組みとブラウザの役割
プリフライトリクエストとその目的
CORSヘッダーとその役割
ブラウザによるCORSリクエストの処理
CORSを使用する際の注意点とセキュリティ
オリジンの設定とワイルドカードの使用
機密情報の取り扱いとアクセス制御
CORSとクロスサイトスクリプティング(XSS)の関係
CORSとサーバーサイドの設定
サーバー側でのCORSの有効化
Access-Control-Allow-Originヘッダーの設定
その他のCORSヘッダーの設定

CORS(Cross-Origin Resource Sharing、クロスオリジンリソース共有)とは

CORSはクロスオリジンリソース共有(Cross-Origin Resource Sharing)の略称です。CORSはあるオリジン(ドメイン)で動作しているウェブアプリケーションが、別のオリジンにあるリソースにアクセスできる仕組みを提供します。

通常、ブラウザではセキュリティ上の理由から、あるオリジンで読み込まれたJavaScriptコードが、別のオリジンに対してHTTPリクエストを送信することが制限されています。この制限をSame-Origin Policy(同一オリジンポリシー)と呼びます。

しかし、現代のウェブアプリケーションでは異なるオリジン間でのリソース共有が必要となるケースが増えてきました。CORSはサーバー側の設定によって、特定のオリジンからのリクエストを許可することで、この制限を緩和する仕組みを提供します。

CORSを利用することで、あるオリジンで動作しているJavaScriptコードが、別のオリジンのサーバーに対してHTTPリクエストを送信し、レスポンスを受け取ることが可能になります。これにより、複数のオリジン間でのデータのやり取りが実現できるのです。

CORSの設定は主にサーバー側で行います。サーバーはAccess-Control-Allow-Originヘッダーを使用して、どのオリジンからのリクエストを許可するかを指定します。クライアント側のJavaScriptコードは許可されたオリジンに対してのみリクエストを送信することができます。

CORSの仕組みとブラウザの役割

CORSの仕組みと、ブラウザがCORSリクエストを処理する際の役割に関して、以下3つを簡単に解説していきます。

プリフライトリクエストとその目的
CORSヘッダーとその役割
ブラウザによるCORSリクエストの処理

プリフライトリクエストとその目的

プリフライトリクエストは実際のリクエストを送信する前に、サーバーがCORSリクエストを受け入れ可能かどうかを確認するための事前のリクエストです。プリフライトリクエストはHTTPのOPTIONSメソッドを使用して送信されます。

プリフライトリクエストの目的は実際のリクエストを送信する前に、サーバーがCORSリクエストを許可しているかどうかを確認することです。これにより、不正なリクエストが送信されるのを防ぎ、セキュリティを強化することができます。

CORSヘッダーとその役割

CORSではいくつかの専用のHTTPヘッダーが使用されます。これらのヘッダーはサーバーとクライアント間でCORSリクエストを制御し、必要な情報を提供するために使用されます。

主要なCORSヘッダーにはAccess-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers などがあります。これらのヘッダーを適切に設定することで、サーバーはCORSリクエストを許可し、クライアントは必要な情報を取得することができます。

ブラウザによるCORSリクエストの処理

ブラウザはCORSリクエストを処理する際に重要な役割を果たします。ブラウザはクライアント側のJavaScriptコードがCORSリクエストを送信する際に、自動的にプリフライトリクエストを送信し、サーバーからのレスポンスを検証します。

ブラウザはサーバーからのレスポンスヘッダーを確認し、CORSリクエストが許可されているかどうかを判断します。許可されている場合、ブラウザはJavaScriptコードにレスポンスデータを提供します。許可されていない場合、ブラウザはエラーを発生させ、リクエストを中止します。

CORSを使用する際の注意点とセキュリティ

CORSを使用する際の注意点とセキュリティに関して、以下3つを簡単に解説していきます。

オリジンの設定とワイルドカードの使用
機密情報の取り扱いとアクセス制御
CORSとクロスサイトスクリプティング(XSS)の関係

オリジンの設定とワイルドカードの使用

CORSの設定ではAccess-Control-Allow-Originヘッダーを使用して、許可するオリジンを指定します。オリジンは具体的なドメイン名を指定することが推奨されます。ワイルドカード(*)を使用すると、全てのオリジンからのリクエストが許可されてしまうため、セキュリティ上のリスクが高くなります。

したがって、信頼できるオリジンのみを明示的に指定し、不必要なオリジンからのアクセスは制限することが重要です。また、必要に応じて、Access-Control-Allow-MethodsやAccess-Control-Allow-Headersヘッダーを使用して、許可するHTTPメソッドやヘッダーを制限することもできます。

機密情報の取り扱いとアクセス制御

CORSを使用する際は機密情報の取り扱いに注意が必要です。クライアント側のJavaScriptコードから機密情報にアクセスできてしまうと、情報漏洩のリスクが高まります。

そのため、サーバー側で適切なアクセス制御を行い、認証や認可のメカニズムを導入することが重要です。クライアント側からのリクエストに対して、適切な権限チェックを行い、機密情報へのアクセスを制限する必要があります。

CORSとクロスサイトスクリプティング(XSS)の関係

CORSとクロスサイトスクリプティング(XSS)は密接な関係があります。XSSは攻撃者が悪意のあるスクリプトをウェブサイトに挿入し、ユーザーのブラウザで実行させる攻撃手法です。

CORSが適切に設定されていない場合、XSSの影響が拡大する可能性があります。攻撃者はXSSを利用して、ユーザーのブラウザからCORSリクエストを送信し、機密情報を取得したり、不正な操作を行ったりすることができます。したがって、CORSの設定とXSS対策は両方とも重要です。

CORSとサーバーサイドの設定

CORSとサーバーサイドの設定に関して、以下3つを簡単に解説していきます。

サーバー側でのCORSの有効化
Access-Control-Allow-Originヘッダーの設定
その他のCORSヘッダーの設定

サーバー側でのCORSの有効化

CORSを利用するにはサーバー側でCORSを有効化する必要があります。サーバーの設定方法は使用しているサーバーソフトウェアやフレームワークによって異なります。一般的にはサーバーの設定ファイルやミドルウェアを使用して、CORSの設定を行います。

例えば、Node.jsのExpressフレームワークではcors middlewareを使用してCORSを有効化できます。また、Apacheサーバーでは.htaccessファイルにCORSの設定を記述することができます。

Access-Control-Allow-Originヘッダーの設定

Access-Control-Allow-OriginヘッダーはCORSの中でも最も重要なヘッダーの一つです。このヘッダーはサーバーが許可するオリジンを指定するために使用されます。

Access-Control-Allow-Originヘッダーには具体的なオリジンのURLを指定します。複数のオリジンを許可する場合はカンマ区切りで指定することができます。ただし、ワイルドカード(*)の使用はセキュリティ上のリスクがあるため、避けることが推奨されます。

その他のCORSヘッダーの設定

Access-Control-Allow-Originヘッダーの他にも、いくつかの重要なCORSヘッダーがあります。Access-Control-Allow-Methodsヘッダーは許可するHTTPメソッド(GET、POST、PUT、DELETEなど)を指定するために使用されます。

Access-Control-Allow-Headersヘッダーは許可するリクエストヘッダーを指定するために使用されます。また、Access-Control-Allow-Credentialsヘッダーはクライアント側がクッキーやHTTP認証情報を含めたリクエストを送信できるかどうかを指定するために使用されます。これらのヘッダーを適切に設定することで、CORSリクエストを細かく制御することができます。