Hello there, ('ω')ノ
🧭 概要
CORS(Cross-Origin Resource Sharing) は、あるウェブサイトが異なるオリジン(ドメイン、プロトコル、ポートが異なる)にあるリソースへアクセスできるようにするための、ブラウザのセキュリティ機構です。
本来、同一生成元ポリシー(Same-Origin Policy) によって、異なるオリジン間でのデータのやり取りは制限されます。これは、セキュリティのために不可欠な仕組みですが、APIの利用やサードパーティの統合が求められる現代のウェブ開発においては、柔軟性が必要です。
そこで登場するのがCORSです。
🔓 CORSの仕組み
CORSは、サーバー側でHTTPヘッダーを設定することで、どのオリジンからのリクエストを許可するかを制御します。
代表的なヘッダー:
Access-Control-Allow-Origin: 許可するオリジンを指定(例:https://example.com)Access-Control-Allow-Methods: 許可するHTTPメソッド(例:GET, POST)Access-Control-Allow-Headers: 許可するカスタムヘッダー
🛡️ CORSは何を守っているのか?
CORSは「JavaScriptによるクロスオリジンのアクセス制御」のためのもので、主にフロントエンドのブラウザレベルでのセキュリティに関与します。
ただし注意!
CORSはCSRF(クロスサイトリクエストフォージェリ)のような攻撃に対する防御機能ではありません。CORSとCSRFは全く別の仕組みです。
🎯 CORSのセキュリティリスク
CORSが誤って設定されていると、次のようなリスクがあります:
- 任意の外部サイトから重要なAPIや認証済みのユーザーデータにアクセスされてしまう。
Access-Control-Allow-Origin: *を安易に使うことで、すべてのドメインからアクセスを許可してしまい、認証情報が漏洩する恐れがある。
✅ CORS設定のベストプラクティス
- 信頼できるオリジンだけを
Access-Control-Allow-Originに明示的に設定する。 - 認証付きのAPIでは
Access-Control-Allow-Credentials: trueとAccess-Control-Allow-Originを組み合わせる場合、*(ワイルドカード)を使わない。 - 必要最低限のHTTPメソッドとヘッダーのみを許可する。
🔚 まとめ
CORSは現代のウェブ開発に欠かせない柔軟性を提供する一方で、誤設定が大きな脆弱性につながることもあります。CORSの本質を理解し、安全な設定を心がけることで、クロスオリジン攻撃を防ぐことができます。
この知識は、セキュリティ診断やペネトレーションテストにおいても非常に重要です。
Best regards, (^^ゞ
