<h2 id="%E6%A6%82%E8%A6%81">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h2>
先日、<a href="https://www.amazon.co.jp/%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%83%89%E9%96%8B%E7%99%BA%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%85%A5%E9%96%80-%E7%9F%A5%E3%82%89%E3%81%AA%E3%81%8B%E3%81%A3%E3%81%9F%E3%81%A7%E3%81%AF%E6%B8%88%E3%81%BE%E3%81%95%E3%82%8C%E3%81%AA%E3%81%84%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96%E3%81%AE%E5%BF%85%E9%A0%88%E7%9F%A5%E8%AD%98-%E5%B9%B3%E9%87%8E-%E6%98%8C%E5%A3%AB/dp/4798169471/ref=sr_1_4?__mk_ja_JP=%E3%82%AB%E3%82%BF%E3%82%AB%E3%83%8A&amp;crid=TQLUTWNWTZQ2&amp;keywords=%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%83%89&amp;qid=1681780036&amp;sprefix=%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%83%89%2Caps%2C221&amp;sr=8-4" target="_blank" rel="nofollow noopener noreferrer">フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識</a>という良書の中の良書と出会ってしまったので、その際に学んだことのメモです。
<a href="https://youtu.be/BKLeEbLK5I0" target="_blank" rel="nofollow noopener noreferrer">youtube</a>もあるので、ぜひ見てください。
フロントエンド開発（JS）を行なっていると<code>XMLHttpRquest</code>や<code>Fetch API</code>を使った際などによく<code>cors</code>のエラーに出くわすことがあります。 
毎回邪魔者扱いしていたcorsエラーですが、あまり深く考えたことがなかったので、今回はoriginとcorsの関係についてざっくりと学んでみようと思います。
<h2 id="origin%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#origin%E3%81%A8%E3%81%AF" aria-hidden="true"></a> Originとは</h2>
<a href="https://developer.mozilla.org/ja/docs/Glossary/Origin" target="_blank" rel="nofollow noopener noreferrer">ウェブのオリジン (Origin)</a> は、ウェブコンテンツにアクセスするために使われる URL の <code>スキーム （プロトコル）</code>、 <code>ホスト （ドメイン）</code>、 <code>ポート番号 </code>によって定義され、スキーム、ホスト、ポート番号がすべて一致した場合のみ、 2 つのオブジェクトは同じオリジンであると言える。
スキーム（scheme）: 通信プロトコルを示す部分で、一般的には <code>http</code> や <code>https</code> の部分のこと 
ホスト（host）: ドメイン名やサブドメイン名を含むウェブサイトのアドレス。例えば、<code>example.com</code> や <code>subdomain.example.com</code> など。 
ポート（port）: ウェブサーバーがリッスンしているポート番号。
⭕️ HTTP コンテンツを配信するのに既定で 80 番ポートを使うため、以下は同一オリジンと言える。 
<code>http://example.com/path/to</code> 
<code>http://exemple.com:80</code>
❌ 以下はスキームが異なるので同一オリジンではない。 
<code>https://example.com/</code> 
<code>http://example.com/</code>
❌ 以下はポートが異なるため同一オリジンではない。 
<code>https://example.com:443</code> 
<code>https://example.com:8080</code>
<h3 id="%E5%90%8C%E4%B8%80%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC">
<a class="header-anchor-link" href="#%E5%90%8C%E4%B8%80%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC" aria-hidden="true"></a> 同一オリジンポリシー</h3>
同一オリジンポリシー（Same-Origin Policy）は、ウェブブラウザのセキュリティモデルであり、異なるオリジンからのリソースへのアクセスを制限する役割を果たしている。 つまり、ブラウザは一部のデータのやり取りを同一のオリジンだけに制限している。 これにより、悪意のあるウェブサイトが、別のオリジンのリソースにアクセスして情報を盗み取ることを防ぐことができる。 
また、クロスサイトスクリプティング（XSS）攻撃など、異なるオリジンのWebページからのスクリプトの実行を制限することで、XSS攻撃を防ぐことができる。 
同一オリジンポリシーは主に、他のオリジンからの悪意のあるスクリプトがデータにアクセスしたり、盗んだりすることを防ぐ役割がある。
<h3 id="%E5%90%8C%E4%B8%80%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AE%E5%88%B6%E9%99%90%E5%AF%BE%E8%B1%A1%EF%BC%88%E4%B8%80%E9%83%A8%EF%BC%89">
<a class="header-anchor-link" href="#%E5%90%8C%E4%B8%80%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AE%E5%88%B6%E9%99%90%E5%AF%BE%E8%B1%A1%EF%BC%88%E4%B8%80%E9%83%A8%EF%BC%89" aria-hidden="true"></a> 同一オリジンポリシーの制限対象（一部）</h3>
・JSでの非同期通信 
XMLHttpRequestやFetch APIなどでの異なるオリジンからのリクエストを制限する。
<aside class="msg message">!<div class="msg-content">
正確にいうと、リクエストは拒否されないが、レスポンスが拒否（破棄）される。 
詳細は後述
</div></aside>
・Web Storage (localStorage および sessionStorage), Indexed DB 
異なるオリジン間でのWebStrageへのアクセスを制限する。
・Canvas 
異なるオリジンの画像をCanvasに描画しようとすると、Canvasが汚染され、データへのアクセスが制限される。
<h3 id="%E5%90%8C%E4%B8%80%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AE%E9%9D%9E%E5%88%B6%E9%99%90%E5%AF%BE%E8%B1%A1%EF%BC%88%E4%B8%80%E9%83%A8%EF%BC%89">
<a class="header-anchor-link" href="#%E5%90%8C%E4%B8%80%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AE%E9%9D%9E%E5%88%B6%E9%99%90%E5%AF%BE%E8%B1%A1%EF%BC%88%E4%B8%80%E9%83%A8%EF%BC%89" aria-hidden="true"></a> 同一オリジンポリシーの非制限対象（一部）</h3>
同一オリジンポリシーだが、全てのアクセスが制限されるわけではなく、対象とならないものも当然ある。
・<code>&lt;img&gt;</code>で読み込まれた画像 
・<code>&lt;video&gt;</code>、<code>&lt;audio&gt;</code> タグで読み込まれたメディアファイル 
・<code>&lt;iframe&gt;</code>、<code>&lt;frame&gt;</code>での別サイトコンテンツの読み込み 
・<code>CSS&amp;スクリプト</code> 
　　異なるオリジンのCSSファイルやスクリプトファイルを読み込んで適用することが可能。 
・<code>リンク</code> 
　　異なるオリジンのウェブページへのリンクは自由に作成できる。
<h2 id="cross-origin-resource-sharing%EF%BC%88cors%2C-%E3%82%B3%E3%83%AB%E3%82%B9%EF%BC%89">
<a class="header-anchor-link" href="#cross-origin-resource-sharing%EF%BC%88cors%2C-%E3%82%B3%E3%83%AB%E3%82%B9%EF%BC%89" aria-hidden="true"></a> Cross Origin Resource Sharing（CORS, コルス）</h2>
同一オリジンポリシーは、サイトのセキュリティを確保するのにかなり重要な役割を果たしているが、信頼できるウェブサイトからのリクエストも制限してしまう。
例えば、同じ会社で複数のサイトを運営していたとしたら、それらのサイトからはアクセスを制限したくないといったことはよくあります。
その際に使われるのが、<code>CORS</code>である。 
CORSを使えば、 
・信頼しているオリジンからのリクエストを許可することができ、クロスオリジンでのデータのやり取りが実現できる。 
・JSのFetch APIやXHRなどの非同期通信でクロスオリジンからのデータのやりとりも可能。
<div class="code-block-container"><pre class="language-php"><code class="language-php">'allowed_origins' =&gt; ['https://example.com']
</code></pre></div>APIで使っている言語のフレームワークでは、上記のようにCORSの制限を設定することができると思われる。
<div class="code-block-container"><pre class="language-php"><code class="language-php">'allowed_origins' =&gt; ['*']
</code></pre></div>デフォルトで<code>*</code>となっており、全てのオリジンからのリクエストを許可している場合もあるが、セキュリティ的にはよろしくないとされている。
<h3 id="cors%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF">
<a class="header-anchor-link" href="#cors%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF" aria-hidden="true"></a> CORSの仕組み</h3>
CORSの仕組みはざっくりと以下のようになっている。
<img src="https://storage.googleapis.com/zenn-user-upload/f8db12ea8ad8-20230418.png" alt="COR仕組み" loading="lazy" class="md-img">
クロスオリジンでのリクエストはクロスオリジンCORSで許可されていない場合、レスポンスがブラウザで破棄される仕組みになっている。
こういった仕組みから同一オリジンポリシーは、データを取得するのを防ぐ目的なら問題ないが、データの更新、削除といったサーバーの操作は、ブラウザがレスポンスを破棄しているだけであって、クロスオリジンのサーバーでの削除、更新処理は動いてしまっているので、制御することができないといった課題がある。
<h3 id="%E3%83%97%E3%83%AA%E3%83%95%E3%83%A9%E3%82%A4%E3%83%88%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88">
<a class="header-anchor-link" href="#%E3%83%97%E3%83%AA%E3%83%95%E3%83%A9%E3%82%A4%E3%83%88%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88" aria-hidden="true"></a> プリフライトリクエスト</h3>
上記のような課題は完全には、防ぐことができないので、削除、更新と言った処理は認証などのロジックを組み込むのは必須であると思われる。
ブラウザには<a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#preflighted_requests" target="_blank" rel="nofollow noopener noreferrer">プリフライトリクエスト</a>といって、「リクエストを送信して大丈夫か？」といったことを確認するリクエストを送信する時がある。 
これはブラウザによって自動的に行われるリクエストであり、特定の条件下でのみ行われるリクエストである。 
<img src="https://storage.googleapis.com/zenn-user-upload/a15b9adfdcc2-20230418.png" alt="プリフライトリクエスト" loading="lazy" class="md-img">
条件 
・クロスオリジンリクエストが、GET、HEAD、POST 以外の HTTP メソッドを使用している。 
・POST メソッドを使用するクロスオリジンリクエストで、Content-Type ヘッダーが application/x-www-form-urlencoded、multipart/form-data、または text/plain 以外の値を持っている。 
・クロスオリジンリクエストにカスタムヘッダーが含まれている。
参考 
<a href="https://www.amazon.co.jp/%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%83%89%E9%96%8B%E7%99%BA%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%85%A5%E9%96%80-%E7%9F%A5%E3%82%89%E3%81%AA%E3%81%8B%E3%81%A3%E3%81%9F%E3%81%A7%E3%81%AF%E6%B8%88%E3%81%BE%E3%81%95%E3%82%8C%E3%81%AA%E3%81%84%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96%E3%81%AE%E5%BF%85%E9%A0%88%E7%9F%A5%E8%AD%98-%E5%B9%B3%E9%87%8E-%E6%98%8C%E5%A3%AB/dp/4798169471/ref=sr_1_4?__mk_ja_JP=%E3%82%AB%E3%82%BF%E3%82%AB%E3%83%8A&amp;crid=TQLUTWNWTZQ2&amp;keywords=%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%83%89&amp;qid=1681780036&amp;sprefix=%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%83%89%2Caps%2C221&amp;sr=8-4" target="_blank" rel="nofollow noopener noreferrer">・フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識</a>
<a href="https://youtu.be/BKLeEbLK5I0" target="_blank" rel="nofollow noopener noreferrer">フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 youtube</a>
<a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#preflighted_requests" target="_blank" rel="nofollow noopener noreferrer">・mdn</a> 
<a href="https://qiita.com/ymbn/items/cc69dc3eccf5a13bbeed" target="_blank" rel="nofollow noopener noreferrer">・同一オリジンポリシーを理解する</a> 
<a href="https://qiita.com/nnishimura/items/1f156f05b26a5bce3672" target="_blank" rel="nofollow noopener noreferrer">・CORS: OPTIONSリクエスト（preflight request）を避ける</a>

オリジン（Origin）とCORSの関係を学ぶ

同一オリジンポリシーの制限対象（一部）

同一オリジンポリシーの非制限対象（一部）

Cross Origin Resource Sharing（CORS, コルス）

Discussion