minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
セキュリティ
💡 ひとことで言うと
異なるオリジン間でブラウザのJavaScriptがリソースへアクセスする際の制限を緩和する仕組みです。
詳しい解説
CORSは、ブラウザに組み込まれた同一オリジンポリシーによって制限されている、異なるドメインやポート、スキーム間のJavaScriptアクセスを、サーバー側の許可によって許容するための仕組みです。サーバーはAccess-Control-Allow-Originなどのレスポンスヘッダーを返すことで、どのオリジンからのアクセスを許可するかを宣言します。Cookie送信を伴う場合はAccess-Control-Allow-Credentialsの設定も必要です。実際のリクエスト前にOPTIONSメソッドでプリフライトリクエストが送信されるケースもあります。設定を誤ると情報漏洩の原因になるため注意が必要です。
📘 具体的な場面
フロントエンドのSPAがAPIサーバーへ別ドメインからfetchで通信する場合、サーバー側でCORSの許可ヘッダーを正しく設定しないとブラウザがレスポンスを破棄してしまいます。
別の呼び方
クロスオリジンリソース共有
クロスオリジン
クロスオリジン