<h2 id="%E3%81%93%E3%82%93%E3%81%AAcors%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AB%E6%82%A9%E3%81%BE%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%81%BE%E3%81%9B%E3%82%93%E3%81%8B%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%81%93%E3%82%93%E3%81%AAcors%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AB%E6%82%A9%E3%81%BE%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%81%BE%E3%81%9B%E3%82%93%E3%81%8B%EF%BC%9F" aria-hidden="true"></a> こんなCORSエラーに悩まされていませんか？</h2>
バックエンドでAPIを立てて、別途作成したフロントからAPIを叩いた時、こんなエラーが起こることがあります。 
<img src="https://storage.googleapis.com/zenn-user-upload/1c388f6dca37-20231211.jpg" loading="lazy" class="md-img">
こちら、CORSエラーというものです。 
今回は、CORSについてざっくり理解してから、CORSエラーの解決方法をまとめました。
<h2 id="cors%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#cors%E3%81%A8%E3%81%AF" aria-hidden="true"></a> CORSとは</h2>
CORSとは、Cross-Origin Resource Sharingの略です。CORSは、異なるオリジン間でのWebリソース共有を制御するしくみです。
<h3 id="%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#%E3%82%AA%E3%83%AA%E3%82%B8%E3%83%B3%E3%81%A8%E3%81%AF" aria-hidden="true"></a> オリジンとは</h3>
ウェブブラウザは、異なるサイト間でデータをやり取りする際に、そのデータの出どころを識別するために「オリジン」を使用します。
<h4 id="%E4%BE%8B">
<a class="header-anchor-link" href="#%E4%BE%8B" aria-hidden="true"></a> 例</h4>
<code>https://example.com:8080</code>と<code>https://another-example.com</code>は、 
異なるオリジンになります。異なるオリジンをまたぐデータの通信は、CORSになります。
同一オリジンだとは、セキュリティの問題はあまりありませんが、 
CORSは、別のオリジンからアクセスされることになるので、悪意のあるサイトからのアクセスされる場合、セキュリティ的に不安ですよね。 
なので、異なるオリジンからAPIを叩こうとすると、通信させないようCORSエラーを出すわけです。
<h2 id="cors%E3%81%AB%E3%82%88%E3%81%A3%E3%81%A6%E8%B5%B7%E3%81%93%E3%82%8B%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%8B%E6%95%85">
<a class="header-anchor-link" href="#cors%E3%81%AB%E3%82%88%E3%81%A3%E3%81%A6%E8%B5%B7%E3%81%93%E3%82%8B%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BA%8B%E6%95%85" aria-hidden="true"></a> CORSによって起こるセキュリティ事故</h2>
CORSはセキュリティ的に問題だと言いましたが、例えば以下のようなセキュリティ事故に遭う可能性が高くなります。
<h3 id="xss(%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0)">
<a class="header-anchor-link" href="#xss(%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0)" aria-hidden="true"></a> XSS(クロスサイトスクリプティング)</h3>
XSSは、悪意のあるスクリプトがウェブページに埋め込まれ、ユーザーのブラウザで実行される攻撃です。
例えば、JavaScriptでエントリーフォームの入力データを引き抜いて、それを別のサイトで表示させてしまうというようなことが起こってしまうことなどが考えられます。
<h3 id="cors%E3%81%AE%E3%81%8A%E3%81%8B%E3%81%92%E3%81%A7xss%E3%81%8C%E9%98%B2%E3%81%92%E3%81%A6%E3%81%84%E3%82%8B">
<a class="header-anchor-link" href="#cors%E3%81%AE%E3%81%8A%E3%81%8B%E3%81%92%E3%81%A7xss%E3%81%8C%E9%98%B2%E3%81%92%E3%81%A6%E3%81%84%E3%82%8B" aria-hidden="true"></a> CORSのおかげでXSSが防げている</h3>
CORSで弾いてくれるおかげで、ブラウザが別のオリジンからのスクリプトの実行を阻止し、XSS攻撃から保護します。これにより、悪意のあるスクリプトが他のオリジンのデータにアクセスすることを防ぐことができます。
<h2 id="%E4%BB%8A%E5%9B%9E%E3%81%AEcors%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AE%E5%8E%9F%E5%9B%A0">
<a class="header-anchor-link" href="#%E4%BB%8A%E5%9B%9E%E3%81%AEcors%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AE%E5%8E%9F%E5%9B%A0" aria-hidden="true"></a> 今回のCORSエラーの原因</h2>
CORSについてざっくり理解したところで、今回のCORSエラーの原因を説明します。(といっても、今までの説明でわかったかと思いますが、、笑)
今回のCORSエラーの原因は、異なるオリジンAPIを叩いたからです。
<h2 id="cors%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AE%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#cors%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AE%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%95" aria-hidden="true"></a> CORSエラーの解決方法</h2>
API側でCORS設定をすればOKです。APIを叩く側のオリジンを、許可するよう設定します。
<h3 id="api%E5%81%B4">
<a class="header-anchor-link" href="#api%E5%81%B4" aria-hidden="true"></a> API側</h3>
以下はNode.jsのExpressフレームワークでの例です。corsというパッケージを使ってます。
<div class="code-block-container"><pre class="language-js"><code class="language-js">const express = require('express');
const cors = require('cors');

const app = express();

// CORSミドルウェアの追加
app.use(cors({
 origin: 'https://許可するオリジン.com',
 methods: ["GET", "POST", "PUT", "DELETE", "OPTIONS"], // ここで記載したメソッドを許可する
 optionsSuccessStatus: 200, // 成功時のステータスを200にする
}));

// ルートやAPIの処理が続く...

app.listen(3000, () =&gt; {
 console.log('サーバーがポート3000で起動しました');
});
</code></pre></div><h3 id="%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E5%81%B4">
<a class="header-anchor-link" href="#%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E5%81%B4" aria-hidden="true"></a> ブラウザ側</h3>
ちなみにブラウザ側はこんな感じ
<div class="code-block-container"><pre class="language-js"><code class="language-js">fetch('https://別のオリジン.com/data', {
 method: 'GET',
 mode: 'cors',
})
 .then(response =&gt; response.json())
 .then(data =&gt; console.log(data))
 .catch(error =&gt; console.error('エラー:', error));
</code></pre></div><h3 id="%E6%B3%A8%E6%84%8F%E7%82%B9">
<a class="header-anchor-link" href="#%E6%B3%A8%E6%84%8F%E7%82%B9" aria-hidden="true"></a> 注意点
</h3>
CORSの設定は注意が必要です。
無闇に色々なオリジンを許可すると、セキュリティが脆弱になるため、信頼できるオリジンだけを許可しましょう。

CORSをざっくり理解し、CORSエラーを解決する

こんなCORSエラーに悩まされていませんか？

XSS(クロスサイトスクリプティング)

CORSによって起こるセキュリティ事故

Discussion