CORS解説

Cross-Origin Resource Sharingの完全ガイド — 仕組み、すべてのヘッダーの解説、よくあるエラーと修正方法。

概要

CORSとは？

Cross-Origin Resource Sharing（CORS）は、HTTPヘッダーベースのメカニズムで、サーバーが自身以外のオリジン（ドメイン、スキーム、ポート）からブラウザがリソースの読み込みを許可すべきオリジンを示すことができます。ブラウザはデフォルトで同一オリジンポリシーを適用し、ページを提供したオリジンとは異なるオリジンへのリクエストをブロックします。

同一オリジンポリシー

2つのURLが同じスキーム（http/https）、ホスト、ポートを共有している場合、同じオリジンを持ちます。例えば、https://app.example.comとhttps://api.example.comはホストが異なるため、異なるオリジンです。同一オリジンポリシーは、悪意のあるサイトが別のサイトの機密データを読み取ることを防ぎます。CORSは、この制限を制御された方法で緩和するメカニズムです。

シンプルリクエスト vs. プリフライト

「シンプルリクエスト」はGET、HEAD、またはPOSTをCORSセーフリストのヘッダーのみで使用し、プリフライトをトリガーしません。それ以外のすべてのクロスオリジンリクエスト（PUTやDELETEなどのメソッドを使用するもの、またはAuthorizationなどのヘッダーを含むもの）はプリフライトをトリガーします。ブラウザは実際のリクエストを送信する前に、まずOPTIONSリクエストを送信してサーバーに許可を求めます。

CORSの仕組み

シンプルリクエスト

ブラウザ

GET /api/data
Origin: https://app.example.com

↓

サーバー

200 OK
Access-Control-Allow-Origin: *

↓

✓ JSにレスポンスを共有

プリフライトリクエスト

ブラウザ

OPTIONS /api/data
Access-Control-Request-Method: DELETE

↓

サーバー

204 No Content
Access-Control-Allow-Methods: DELETE

↓

ブラウザ

DELETE /api/data
Origin: https://app.example.com

↓

✓ JSにレスポンスを共有

CORSヘッダー

10件中10件を表示

よくあるエラー

8件中8件を表示

RequestDockで試す

実際のHTTPリクエストを送信してレスポンスを確認 — ブラウザ上で直接。

RequestDockを開く

CORS解説

概要

CORSとは？

同一オリジンポリシー

シンプルリクエスト vs. プリフライト

CORSの仕組み

シンプルリクエスト

プリフライトリクエスト

CORSヘッダー

よくあるエラー

関連ガイド

HTTPステータスコード

HTTPヘッダー

HTTPメソッド

MIMEタイプ

RequestDockで試す

概要

CORSとは？

同一オリジンポリシー

シンプルリクエスト vs. プリフライト

CORSの仕組み

シンプルリクエスト

プリフライトリクエスト

CORSヘッダー

Access-Control-Allow-Originレスポンス必須

Access-Control-Allow-Methodsレスポンス必須

Access-Control-Allow-Headersレスポンス必須

Access-Control-Allow-Credentialsレスポンスオプション

Access-Control-Expose-Headersレスポンスオプション

Access-Control-Max-Ageレスポンスオプション

Access-Control-Request-Methodリクエスト必須

Access-Control-Request-Headersリクエストオプション

Originリクエスト必須

Varyレスポンスオプション

よくあるエラー

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Origin' header must not be the wildcard '*' when the request's credentials mode is 'include'.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: Method DELETE is not allowed by Access-Control-Allow-Methods in preflight response.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: Request header field authorization is not allowed by Access-Control-Allow-Headers in preflight response.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.

Access to fetch at 'https://api.example.com/data' (redirected from 'https://api.example.com/old') from origin 'https://app.example.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: Redirect is not allowed for a preflight request.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Credentials' header in the response is '' which must be 'true' when the request's credentials mode is 'include'.

Refused to get unsafe header 'X-Request-Id'

関連ガイド

HTTPステータスコード

HTTPヘッダー

HTTPメソッド

MIMEタイプ

RequestDockで試す