<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
<p>少し前に業務でCORSの対応をしたことがあったが、なんとなくの理解度で実装を行なっていたので、知識の整理もかねて調べいったことをメモしていく。</p>
<h1 id="cors%E3%81%A8%E3%81%AF%E3%81%AA%E3%81%AB%EF%BC%9F">
<a class="header-anchor-link" href="#cors%E3%81%A8%E3%81%AF%E3%81%AA%E3%81%AB%EF%BC%9F" aria-hidden="true"></a> CORSとはなに？</h1>
<p>読み方：シーオーアールエス<br>
日本語訳では、"オリジン間リソース共有"<br>
これだけではなんのことさっぱりわからないですね。<br>
リソース共有とあるので、URLの共有や同じって意味ですかね..?<br>
オリジンがなんのことを指しているのか?</p>
<h1 id="%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%81%A8%E3%81%AF" aria-hidden="true"></a> オリジンとは</h1>
<p>ドメインにプロトコルとポート番号を含んでいるもののことをいいます。<br>
オリジンの例：https//test.co:443<br>
ドメインの例：test.com</p>
<p><strong>※プロトコル、ドメイン、ポート番号どれか1つでも異なる場合は異なるオリジンとして判断される。</strong></p>
<h1 id="cors%E3%81%A8%E3%81%AF%EF%BC%9F">
<a class="header-anchor-link" href="#cors%E3%81%A8%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> CORSとは？</h1>
<p>オリジンが何かわかってきたので、少しわかってきたような気がしますが<br>
CORSとは、あるオリジンとあるオリジンのオリジン間アクセスを許可できる仕組みのことを言うことらしい。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/64f525b4ae65-20231103.png" loading="lazy" class="md-img"></p>
<p>この図でいうと④の箇所を許可することのことをいう。</p>
<h1 id="cors%E3%81%AE%E7%A8%AE%E9%A1%9E(%E3%81%A8%E3%81%A6%E3%82%82%E5%A4%A7%E5%88%87%E3%81%AA%E3%81%A8%E3%81%93%E3%82%8D)">
<a class="header-anchor-link" href="#cors%E3%81%AE%E7%A8%AE%E9%A1%9E(%E3%81%A8%E3%81%A6%E3%82%82%E5%A4%A7%E5%88%87%E3%81%AA%E3%81%A8%E3%81%93%E3%82%8D)" aria-hidden="true"></a> CORSの種類(とても大切なところ)</h1>
<p>CORSは2種類の種類があるようです。</p>
<p><strong>Simple Request</strong><br>
単純リクエストと言われ、以下の条件のリクエストに該当する場合は単純リクエストに当てはまる。</p>
<ul>
<li>
<p>メソッドはいずれかであること</p>
<ul>
<li>GET</li>
<li>POST</li>
<li>HEAD</li>
</ul>
</li>
<li>
<p>リクエストヘッダは以下のいずれかであること（ユーザエージェントによって自動的に付与されるヘッダーを除く）</p>
<ul>
<li>Accept</li>
<li>Accept-Langage</li>
<li>Content-Langage</li>
<li>Content-Type</li>
</ul>
</li>
<li>
<p>Content-Typeヘッダは以下のいずれかであること</p>
<ul>
<li>application/x-www-form-urlencoded</li>
<li>multipart/form-data</li>
<li>text/plain</li>
</ul>
</li>
</ul>
<p><strong>Preflight Request</strong><br>
プリフライトリクエストと言われるこちらのリクエストは、上記単純リクエスト以外のリクエストが当てはまる。<br>
特徴として、リクエストを送る前にOPTIONSメソッドで対象の異なるオリジンにリクエストを送り<br>
実際のリクエストを送っても問題ないか確認することをしている。</p>
<p>~簡単な送信までの流れ~</p>
<ol>
<li>クライアントがプリフライトリクエストに該当するHTTPリクエストを送信</li>
<li>ブラウザが、プリフライトリクエストであることを検知して、プリフライトリクエストが送られる。(プリフライトリクエストは、OPTIONSメソッドで送信されリクエストの内容はこの時送信されない。)</li>
<li>プリフライトリクエストを受信したサーバは、Access-Control-Allow-Method、Access-Control-Allow-Origin等の許可するHTTPメソッド・オリジンの情報を返却する。</li>
<li>プリフライトリクエストで許可が得られたため、本体のリクエストが送信される</li>
</ol>
<h1 id="cors%E3%81%AE%E5%BF%85%E8%A6%81%E6%80%A7">
<a class="header-anchor-link" href="#cors%E3%81%AE%E5%BF%85%E8%A6%81%E6%80%A7" aria-hidden="true"></a> CORSの必要性</h1>
<p>CORSがどういったものなのかわかってきましたが、なぜCORSが必要になるのでしょうか..?<br>
CORSがなければ実装が楽なのに..</p>
<p>Web セキュリティの重要なポリシーの一つに Same-Origin Policy (同一オリジンポリシー)があり、これを守る為に必要となるようです。<br>
もし守らない場合は、XSS(Cross Site Scripting)、CSRF(Cross-Site Request Forgeries)の攻撃を受けてしまう可能性があります。</p>
<p>例えば、ユーザーが Web サイトにアクセスすることで不正なスクリプトが Client (Web ブラウザ) で実行されてしまうことや、Web アプリケーションのユーザーが、意図しない処理を Web アプリケーション (Web Server) 上で実行されることなどが発生していまいます。</p>
<h1 id="%E5%85%B7%E4%BD%93%E7%9A%84%E3%81%AA%E5%AE%9F%E8%A3%85">
<a class="header-anchor-link" href="#%E5%85%B7%E4%BD%93%E7%9A%84%E3%81%AA%E5%AE%9F%E8%A3%85" aria-hidden="true"></a> 具体的な実装</h1>
<p>では単純リクエストとプリフライトリクエストを疑似的に起こして対応方法について試してみたいと思います。<br>
フロントのコードがこちらで、バックエンドのコードはこちらです。</p>
<p><strong>単純リクエスト</strong></p>
<div class="code-block-container"><pre><code>import express from "express"

const app = express();

app.use((req, res, next) =&gt; {
  console.log("リクエストの受信")
  res.header("Access-Control-Allow-Origin","http://localhost:8080")
  next();
})

app.get("/simple-request", function (req, res, next) {
res.send({message:"Hello world Japan!"});
});

app.post("/preflight-request", function (req, res, next) {
  res.send({message:"Hello world Japan!"});
});

app.options('*', function (req, res) {
  res.sendStatus(200);
});


app.listen(5000, () =&gt; {
  console.log("Application available!");
});
</code></pre></div><div class="code-block-container"><pre><code>&lt;template&gt;
  &lt;h1&gt;Checking the operation of cors&lt;/h1&gt;
  &lt;button @click="corsSimpleRequest()"&gt;Simple Request button&lt;/button&gt;
  &lt;button @click="corsPreflightRequest()"&gt;Preflight Request button&lt;/button&gt;
&lt;/template&gt;

&lt;script lang="ts"&gt;
import { defineComponent } from "vue";

export default defineComponent({
  name: "App",
  setup: () =&gt; {
    const corsSimpleRequest = async () =&gt; {
      try {
        console.log("SimpleRequest start");
        const url = "http://localhost:5000/simple-request";
        const res = await fetch(url);
        console.log("SimpleRequest result:", res);
      } catch (e) {
        console.log("エラー発生:", e);
      }
    };
    const corsPreflightRequest = async () =&gt; {
      try {
        console.log("PreflightRequest start");
        const url = "http://localhost:5000/preflight-request";
        const option = {
          method: "POST",
          headers: {
            "Content-Type": "application/json",
          },
          body: JSON.stringify({
            message: "PreflightRequest",
          }),
        };
        const res = await fetch(url, option);
        console.log("PreflightRequest result:", res);
      } catch (e) {
        console.log("エラー発生:", e);
      }
    };
    return { corsSimpleRequest, corsPreflightRequest };
  },
});
&lt;/script&gt;
</code></pre></div><p>まずはbackend.tsのheaderに設定しているコードをコメントアウト。</p>
<div class="code-block-container"><pre><code>// res.header("Access-Control-Allow-Origin","http://localhost:8080")
</code></pre></div><p>フロントの"Simple Request botton"をクリック。<br>
CORS（単純リクエスト）でエラーが発生していることを確認できます。</p>
<p>単純リクエストの場合は、originのアクセス許可をレスポンスヘッダーに設定すればいいみたいなので、バックエンドで先程コメントした箇所を解除して再度リクエストを行ってみると..</p>
<p>エラーが解消されていることを確認できました！！！</p>
<p><strong>プリフライトリクエスト</strong></p>
<div class="code-block-container"><pre><code>import express from "express";

const app = express();

app.use((req, res, next) =&gt; {
  console.log("リクエストの受信");
  res.header("Access-Control-Allow-Origin","http://localhost:8080")
  res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE')
  res.header('Access-Control-Allow-Headers','Content-Type, Authorization, access_token')
  next();
});

app.get("/simple-request", function (req, res, next) {
  res.send({ message: "Hello world Japan!" });
});

app.post("/preflight-request", function (req, res, next) {
  res.send({ message: "Hello world Japan!" });
});

app.options("*", function (req, res) {
  res.sendStatus(200);
});

app.listen(3000, () =&gt; {
  console.log("Application available!");
});

</code></pre></div><p>frontend.vueは同じ<br>
次にプリフライトリクエストですが、単純リクエストと同様に<br>
まずはバックエンドのheaderに設定しているコードをコメントアウト。</p>
<div class="code-block-container"><pre><code>// res.header("Access-Control-Allow-Origin","http://localhost:8080")
// res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE')
// res.header('Access-Control-Allow-Headers','Content-Type, Authorization, access_token')
</code></pre></div><p>フロントの"Preflight Request"をクリック。<br>
CORS（プリフライトリクエスト）でエラーが発生していることを確認できます。</p>
<p>プリフライトリクエストの場合は、originのだけでなくmethodやheaderの許可が必要で<br>
POTIONメソッドのリクエストを対応できるようにする必要があります。</p>
<p>単純リクエストと同様にコメントアウトを解除して再度リクエストを行ってみると..</p>
<p>エラーが解消されていることを確認できました！！！</p>
<h2 id="%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0(%E9%A0%AD%E3%81%ABcors%E3%81%8C%E3%81%A4%E3%81%84%E3%81%A6%E3%81%84%E3%82%8B%E3%83%95%E3%82%A9%E3%83%AB%E3%83%80)">
<a class="header-anchor-link" href="#%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0(%E9%A0%AD%E3%81%ABcors%E3%81%8C%E3%81%A4%E3%81%84%E3%81%A6%E3%81%84%E3%82%8B%E3%83%95%E3%82%A9%E3%83%AB%E3%83%80)" aria-hidden="true"></a> プログラム(頭にcorsがついているフォルダ)</h2>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__00a806c8a35d5" src="https://embed.zenn.studio/card#zenn-embedded__00a806c8a35d5" data-content="https%3A%2F%2Fgithub.com%2Fsuguru-3u%2Fweb-base%2Ftree%2Fmain" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/suguru-3u/web-base/tree/main" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/suguru-3u/web-base/tree/main</a></p>
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
<p>調べて見るまでは、CORSについて曖昧な理解でしたが、今は少し理解できたと感じています。<br>
新規リソースの作成時は気をつけたいと思います!</p>
<h1 id="%E5%8F%82%E8%80%83%E3%82%B5%E3%82%A4%E3%83%88">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83%E3%82%B5%E3%82%A4%E3%83%88" aria-hidden="true"></a> 参考サイト</h1>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__74c44875f513f" src="https://embed.zenn.studio/card#zenn-embedded__74c44875f513f" data-content="https%3A%2F%2Fqiita.com%2Fatt55%2Fitems%2F2154a8aad8bf1409db2b" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://qiita.com/att55/items/2154a8aad8bf1409db2b" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/att55/items/2154a8aad8bf1409db2b</a><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__d8737f583e179" src="https://embed.zenn.studio/card#zenn-embedded__d8737f583e179" data-content="https%3A%2F%2Fqiita.com%2Feshow%2Fitems%2Fe47e7214dc12f130f456" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://qiita.com/eshow/items/e47e7214dc12f130f456" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/eshow/items/e47e7214dc12f130f456</a></p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__ecfb1c8098fb8" src="https://embed.zenn.studio/card#zenn-embedded__ecfb1c8098fb8" data-content="https%3A%2F%2Fqiita.com%2Fchenglin%2Fitems%2F5e563e50d1c32dadf4c3" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://qiita.com/chenglin/items/5e563e50d1c32dadf4c3" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/chenglin/items/5e563e50d1c32dadf4c3</a><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__dc82c5d01578e" src="https://embed.zenn.studio/card#zenn-embedded__dc82c5d01578e" data-content="https%3A%2F%2Fqiita.com%2Fymbn%2Fitems%2Fcc69dc3eccf5a13bbeed" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://qiita.com/ymbn/items/cc69dc3eccf5a13bbeed" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/ymbn/items/cc69dc3eccf5a13bbeed</a></p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__72ca8e85669fb" src="https://embed.zenn.studio/card#zenn-embedded__72ca8e85669fb" data-content="https%3A%2F%2Fzenn.dev%2Fluvmini511%2Farticles%2Fd8b2322e95ff40" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/luvmini511/articles/d8b2322e95ff40" style="display:none" target="_blank">https://zenn.dev/luvmini511/articles/d8b2322e95ff40</a></p>
<p>・プログラムの対応方法<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__1ddae56725f21" src="https://embed.zenn.studio/card#zenn-embedded__1ddae56725f21" data-content="https%3A%2F%2Fs8a.jp%2Fnode-js-express-http-options%23%25E5%25AE%259F%25E9%259A%259B%25E3%2581%25AE%25E3%2582%25B3%25E3%2583%25BC%25E3%2583%2589" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://s8a.jp/node-js-express-http-options#%E5%AE%9F%E9%9A%9B%E3%81%AE%E3%82%B3%E3%83%BC%E3%83%89" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://s8a.jp/node-js-express-http-options#実際のコード</a></p>


CORSってなんだ？

CORSの種類(とても大切なところ)

プログラム(頭にcorsがついているフォルダ)

Discussion