クロスオリジンリソースシェアリング (CORS)
Cross-Origin Resource Sharing (CORS) の定義
Cross-Origin Resource Sharing (CORS) は、異なるドメイン上の異なるウェブアプリケーション間でのリソースアクセスを制御するためにウェブブラウザによって実装された重要なセキュリティ機能です。ブラウザが、あるウェブアプリケーションが異なるオリジンからのリソースにアクセスできるかどうかを判断するメカニズムを確立します。このセキュリティの概念は、オリジン間の潜在的な有害な相互作用を防ぎつつ、正当なクロスオリジンリクエストを許可することを目的としています。
基本的なセキュリティ対策であるSame-Origin Policyは、ウェブページが異なるオリジンから機密データを要求することを防ぎます。しかし、CORSは、どのウェブアプリケーションがドメインを越えてリソースにアクセスできるかを指定することで、より柔軟なアプローチを提供します。非認可のアクセスを防ぎつつ、正当なクロスオリジン通信を促進するための追加のセキュリティ層と制御を提供します。
CORS の仕組み
ウェブページが異なるドメインのリソースを要求するとき、ウェブブラウザはターゲットドメインが適切なCORSポリシーを持っているかを確認します。これらのポリシーは、どのオリジンがリソースにアクセスを許可されているかを示す特定のHTTPヘッダーで構成されています。これらのヘッダーは、サーバーからブラウザへの応答に含まれます。
もし応答が必要なCORSヘッダーを含んでおり、ポリシーがリクエストを許可する場合、ブラウザはクロスオリジンの相互作用を許可し、応答が要求元のウェブページに返されます。これにより、ウェブアプリケーションが異なるオリジンからの要求されたリソースにシームレスにアクセスできるようになります。
一方で、応答が必要なCORSヘッダーを含まない場合、またはポリシーがリクエストを許可しない場合、ブラウザはその相互作用をブロックします。これにより、非認可のリソースアクセスを防ぎ、潜在的なセキュリティリスクから保護します。
予防のヒント
安全で制御されたクロスオリジンのリソース共有を確保するために、ウェブ開発者は次のベストプラクティスに従うべきです:
適切なCORSポリシーを実装: ウェブ開発者は、応答に適切なCORSヘッダーを含めるようにサーバーを設定する必要があります。これらのヘッダーは、どのオリジンがリソースにアクセスできるかを指定します。CORSポリシーを正しく設定することで、開発者は認可されたウェブアプリケーションだけがクロスオリジンリクエストを行えるようにすることができます。
アクセスの制限: サーバー上のリソースへのアクセスを特定のオリジンのみに許可することが重要です。信頼できるオリジンのみからのアクセスを許可することで、ウェブ開発者は非認可のクロスオリジンリクエストや機密情報への非認可アクセスを防ぎます。
資格情報を控えめに使用: クロスオリジンリクエストでクッキーやHTTP認証情報などの資格情報を控えめに使用することをお勧めします。もしウェブアプリケーションがリクエストにこれらの資格情報を必要としない場合、それらを含めないことが推奨されます。これにより、非認可の主体に機密情報を曝露するリスクが減少します。
これらの予防ヒントに従うことで、ウェブ開発者はCORSの安全な実装を確保し、ウェブアプリケーションを潜在的なセキュリティ脅威から保護することができます。
関連用語
Same-Origin Policy: Same-Origin Policyは、ウェブページが異なるオリジンから機密データを要求することを防ぐセキュリティ対策です。クロスオリジンリソース共有を制限することで、ウェブアプリケーションのセキュリティを向上させます。
Cross-Site Scripting (XSS): Cross-Site Scriptingは、攻撃者が悪意のあるスクリプトをウェブページに注入するセキュリティの脆弱性の一種です。これらのスクリプトは、影響を受けたウェブページを訪れる他のユーザーのブラウザで実行され、特定のユーザーに対するウェブアプリケーションの信頼を悪用する可能性があります。
Cross-Site Request Forgery (CSRF): Cross-Site Request Forgeryは、悪意のあるウェブサイトがユーザーのブラウザに対して、ユーザーがすでに認証を受けているウェブアプリケーションに非認可のリクエストを送信させる攻撃です。この攻撃は、ターゲットとするウェブアプリケーションに対するユーザーの信頼と認証を利用します。