※本ページにはプロモーション(広告)が含まれています
セキュリティ
ひとことでいうと
異なるオリジン間でブラウザのJavaScriptがリソースへアクセスする際の制限を緩和する仕組みです。
詳しい解説
CORSは、ブラウザに組み込まれた同一オリジンポリシーによって制限されている、異なるドメインやポート、スキーム間のJavaScriptアクセスを、サーバー側の許可によって許容するための仕組みです。サーバーはAccess-Control-Allow-Originなどのレスポンスヘッダーを返すことで、どのオリジンからのアクセスを許可するかを宣言します。Cookie送信を伴う場合はAccess-Control-Allow-Credentialsの設定も必要です。実際のリクエスト前にOPTIONSメソッドでプリフライトリクエストが送信されるケースもあります。設定を誤ると情報漏洩の原因になるため注意が必要です。
具体的な場面
フロントエンドのSPAがAPIサーバーへ別ドメインからfetchで通信する場合、サーバー側でCORSの許可ヘッダーを正しく設定しないとブラウザがレスポンスを破棄してしまいます。
別の呼び方
クロスオリジンリソース共有
クロスオリジン
クロスオリジン
minto.tech スマホ(iPhone/Android)・パソコン(Windows/Mac)・Office・Wi-Fi・AIツールの「できない」「困った」を解決する実用ガイド。トラブル対処法とノウハウが満載のお助けサイトです。