「CORSの仕組みと設定例」：初心者でも分かる解説

CORS（クロスオリジンリソースシェアリング）の基本と設定例

CORS（クロスオリジンリソースシェアリング）とは？

CORSは、Cross-Origin Resource Sharingの略で、異なるオリジン（ドメインやポートなど）からのリソースへのアクセスを制御するための仕組みです。通常、ブラウザはセキュリティの観点から、同一オリジンポリシーというルールに従い、異なるオリジンからのリソースへのアクセスを制限します。CORSはこの制限を緩和するために設計されています。具体的には、サーバーが特定のオリジンからのリクエストを許可する設定を行うことによって、他のオリジンからのアクセスを可能にします。

CORSの仕組み

CORSの仕組みは、主に以下のように動作します。
1. **プリフライトリクエスト**: ブラウザがサーバーにリクエストを送る前に、まず「OPTIONS」メソッドを使用して、サーバーに許可されているメソッドやヘッダーを問い合わせます。このリクエストをプリフライトリクエストと呼びます。
2. **サーバーのレスポンス**: サーバーは、リクエスト元のオリジンや許可するメソッド、ヘッダーなどを含んだレスポンスを返します。例えば、`Access-Control-Allow-Origin`ヘッダーが設定されている場合、そのオリジンからのリクエストが許可されることを示します。
3. **実際のリクエスト**: プリフライトリクエストが成功した後、ブラウザは実際のリクエストを送信します。このとき、サーバーが再度レスポンスを返し、リソースが取得されます。

CORSの設定例

CORSを設定する方法はいくつかありますが、一般的にはサーバー側でヘッダーを設定します。以下に、代表的なサーバー環境での設定例を紹介します。

1. Node.js（Express）

Node.jsを用いている場合、CORSミドルウェアを使用することが推奨されます。以下は基本的な設定方法です。
“`javascript
const express = require(‘express’);
const cors = require(‘cors’);
const app = express();

app.use(cors()); // すべてのオリジンを許可

app.get(‘/api/data’, (req, res) => {
res.json({ message: ‘Hello, CORS!’ });
});

app.listen(3000, () => {
console.log(‘Server is running on port 3000’);
});
“`
この例では、すべてのオリジンからのリクエストを許可しています。特定のオリジンを指定する場合は、`cors({ origin: ‘https://example.com’ })`のように設定します。

2. Apache

Apacheサーバーを利用している場合、`.htaccess`ファイルに以下のように記述します。
“`
Header set Access-Control-Allow-Origin “*”
“`
この設定もすべてのオリジンを許可するものです。特定のオリジンを許可する場合は、`*`の代わりにオリジンのURLを記述します。

3. Nginx

Nginxの設定ファイルに以下の行を追加します。
“`
add_header ‘Access-Control-Allow-Origin’ ‘*’;
“`
こちらもすべてのオリジンを許可する設定です。特定のオリジンを指定する際は、同様にURLを記入します。

CORSの注意点

CORSを設定する際は、以下の点に注意が必要です。
– **セキュリティ**: すべてのオリジンを許可する設定（`*`）は便利ですが、セキュリティ上のリスクがあるため、必要最小限のオリジンを指定することが推奨されます。
– **ブラウザのサポート**: CORSはほとんどの最新ブラウザでサポートされていますが、古いブラウザでは正しく動作しないことがあります。

CORSはウェブのセキュリティを高めるために重要な技術です。正しく理解し、適切に設定することで、安全なウェブアプリケーションを構築することができます。