CORSCross-Origin Resource Sharing
CORS (Cross-Origin Resource Sharing) は、ブラウザの同一オリジン制約を超えてクロスオリジンHTTPリクエストを許可する仕組みです。Access-Control-* ヘッダーで制御します。
詳細解説
CORS は、Webブラウザのセキュリティモデル「同一オリジンポリシー」によって制限されているクロスオリジンリクエストを、サーバー側の許可で限定的に解放する仕組みです。サーバーは「Access-Control-Allow-Origin: https://exbk.jp」のようなヘッダーで許可するオリジンを返し、Cookie等の資格情報を含む場合は Access-Control-Allow-Credentials: true と具体的なオリジン指定 (ワイルドカード* と併用不可) が必要です。複雑なリクエスト (PUT/DELETE/カスタムヘッダー) では事前にOPTIONSメソッドの「プリフライトリクエスト」が走り、サーバーが許可メソッド・ヘッダー・最大キャッシュ秒数 (Access-Control-Max-Age) を返します。CORSはCSRFとは別物で、ブラウザを介さないAPI連携 (Postman・サーバー間通信) には影響しません。
実装例 / 使い方
- 01Access-Control-Allow-Origin: https://exbk.jp で限定許可
- 02プリフライト OPTIONS リクエストで PUT メソッドを許可
- 03withCredentials: true は具体的オリジン指定が必須
関連する用語
CSRF
Cross-Site Request ForgeryCSRF (Cross-Site Request Forgery) は、ログイン中のユーザーのCookieを悪用し意図しない操作を実行させる攻撃で、対策にはCS...
CSP
Content Security PolicyCSP (Content Security Policy) は、ブラウザに読み込み許可するスクリプト・スタイル・画像等の出所をホワイトリストで指定するセキュリテ...
HTTPS
HTTP Secure / HTTP over TLSHTTPS は HTTP 通信を TLS (Transport Layer Security) で暗号化したプロトコルで、盗聴・改ざん・なりすましを防ぎます。R...
XSS
Cross-Site ScriptingXSS (Cross-Site Scripting) は、悪意あるスクリプトをWebページに埋め込み他ユーザーのブラウザで実行させる攻撃で、Reflected・...
CORSを、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信