PHPでREST APIにCORS設定してクロスオリジンリクエストを許可する方法

CORS（クロスオリジンリソースシェアリング）は、ウェブブラウザが異なるオリジン間でのリソース共有を制御する仕組みです。通常、同一オリジンポリシーにより、異なるドメイン間のリクエストは制限されますが、CORS設定を使用することで、特定の条件を満たす場合に限りクロスオリジンリクエストを許可できます。

本記事では、PHPを用いてREST APIに対するCORSの設定方法について解説します。クロスオリジンリクエストの課題やPHPでの具体的な設定手順、セキュリティ対策を含めたCORSの適切な管理方法を学ぶことで、APIの利用者に安全で柔軟なアクセスを提供できるようにします。

CORSとは何か

CORS（Cross-Origin Resource Sharing）は、ブラウザが異なるオリジン（ドメイン、プロトコル、ポートが異なるリソース）間でのリクエストを制御するための仕組みです。通常、ウェブブラウザは同一オリジンポリシーを採用しており、異なるオリジンからのリソースへのアクセスを制限しています。これにより、セキュリティが向上し、不正なアクセスが防止されます。

クロスオリジンリクエストが必要な理由

モダンなウェブアプリケーションでは、フロントエンドとバックエンドが異なるドメインでホストされているケースが一般的です。この場合、ブラウザが異なるオリジンのリソースにアクセスするためにCORSを使用する必要があります。例えば、JavaScriptアプリケーションが外部APIからデータを取得する際にCORSが必要となります。

CORSの設定により、サーバーが指定されたオリジンからのリクエストを許可するかどうかを決定し、リソースの共有を安全に制御できます。

REST APIでのクロスオリジンリクエストの課題

クロスオリジンリクエストは、異なるオリジン間でリソースにアクセスする際に発生する問題を引き起こすことがあります。特にREST APIを提供するサーバーにおいて、セキュリティやデータの保護が重要な課題です。

セキュリティリスク

クロスオリジンリクエストを許可することで、他のウェブサイトからの不正なリクエストや攻撃を受ける可能性があります。たとえば、悪意のあるウェブサイトがユーザーのブラウザを通じてAPIを操作し、不正なデータを取得したり操作したりする恐れがあります。そのため、CORS設定を適切に行わないと、アプリケーションのセキュリティが脆弱になることがあります。

ブラウザによるリクエスト制限

デフォルトでは、ブラウザは同一オリジンポリシーを適用し、異なるオリジンからのリソースへのアクセスをブロックします。このため、クライアント側からREST APIを使用する際には、CORSヘッダーを正しく設定し、必要なリクエストを許可する必要があります。そうしなければ、ブラウザがリクエストをブロックし、APIの利用が制限されてしまいます。

プリフライトリクエストの対応

特定のHTTPメソッド（POST、PUT、DELETEなど）やカスタムヘッダーを使用する場合、ブラウザは最初にプリフライトリクエスト（OPTIONSリクエスト）を送信して、サーバーがリクエストを許可するかどうかを確認します。この対応を怠ると、クロスオリジンリクエストは失敗します。

これらの課題を克服するためには、PHPでの適切なCORS設定が必要不可欠です。

PHPでのCORS設定方法

PHPでREST APIにCORSを設定するには、サーバー側で適切なHTTPヘッダーを追加して、クロスオリジンリクエストを許可する必要があります。以下では、基本的な設定手順について説明します。

基本的なCORSヘッダーの設定

PHPでCORSを有効にするには、APIレスポンスにCORS関連のヘッダーを追加します。具体的には、Access-Control-Allow-Origin ヘッダーを設定することで、どのオリジンからのリクエストを許可するかを指定できます。たとえば、全てのオリジンからのリクエストを許可するには以下のコードを追加します。

header("Access-Control-Allow-Origin: *");

このコードは、すべてのオリジンからのアクセスを許可しますが、セキュリティ上のリスクを伴うため、慎重に使用する必要があります。

追加のCORSヘッダーの設定

基本的な設定に加えて、以下のヘッダーを追加することで、許可するHTTPメソッドやカスタムヘッダーの設定が可能です。

header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization");

• Access-Control-Allow-Methods: 許可するHTTPメソッドを指定します。
• Access-Control-Allow-Headers: 許可するリクエストヘッダーを指定します。

これらの設定により、クライアント側のアプリケーションがCORS制約に従ってREST APIを呼び出せるようになります。

ヘッダーを用いたCORSの設定

CORSを適切に設定するには、サーバー側でレスポンスヘッダーを設定することが重要です。PHPでは、ヘッダーを設定することで、特定のオリジンやメソッド、リクエストヘッダーを許可することができます。

Access-Control-Allow-Originの設定

Access-Control-Allow-Origin ヘッダーは、どのオリジンからのリクエストを許可するかを指定するための重要なヘッダーです。例えば、すべてのオリジンからのリクエストを許可する場合は次のように設定します。

header("Access-Control-Allow-Origin: *");

特定のオリジンのみを許可する場合は、オリジンのURLを指定します。

header("Access-Control-Allow-Origin: https://example.com");

Access-Control-Allow-Methodsの設定

Access-Control-Allow-Methods ヘッダーは、許可するHTTPメソッド（GET、POST、PUT、DELETEなど）を指定します。これにより、APIがどのリクエストメソッドをサポートしているかをブラウザに通知します。

header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");

Access-Control-Allow-Headersの設定

Access-Control-Allow-Headers ヘッダーは、リクエストで使用できるカスタムヘッダーを指定します。たとえば、Content-Type や Authorization などのヘッダーを許可する場合は次のように設定します。

header("Access-Control-Allow-Headers: Content-Type, Authorization");

Access-Control-Allow-Credentialsの設定

認証情報（クッキーやHTTP認証ヘッダー）を含むリクエストを許可するには、Access-Control-Allow-Credentials ヘッダーを設定します。

header("Access-Control-Allow-Credentials: true");

この設定により、クライアント側から送信された認証情報をサーバー側で受け入れることができます。ただし、Access-Control-Allow-Origin ヘッダーでワイルドカード（*）を指定している場合は、Access-Control-Allow-Credentials を有効にできないため、注意が必要です。

これらのヘッダー設定を組み合わせることで、PHPでのCORS設定が柔軟かつ安全に行えるようになります。

特定のオリジンのみを許可する方法

全てのオリジンを許可する設定は便利ですが、セキュリティ上のリスクがあるため、特定のオリジンのみからのリクエストを許可する方法が推奨されます。PHPでは、リクエストのオリジンをチェックし、条件に合致する場合にのみCORSヘッダーを設定することができます。

特定のオリジンを許可する例

以下のコードは、リクエストのオリジンが指定したドメインと一致する場合にのみ、CORSを許可する方法を示しています。この例では、https://example.com からのリクエストだけを許可します。

$allowed_origin = "https://example.com";

if (isset($_SERVER['HTTP_ORIGIN']) && $_SERVER['HTTP_ORIGIN'] === $allowed_origin) {
    header("Access-Control-Allow-Origin: $allowed_origin");
    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
}

このコードは、リクエストの HTTP_ORIGIN ヘッダーをチェックし、許可されたオリジンであればCORS関連のヘッダーを設定します。

複数のオリジンを許可する方法

複数のオリジンを許可する場合は、リストを用いてオリジンを管理し、リクエストのオリジンがリスト内に含まれているかをチェックします。

$allowed_origins = ["https://example.com", "https://another-example.com"];

if (isset($_SERVER['HTTP_ORIGIN']) && in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
}

この方法により、リクエストのオリジンがリスト内に含まれている場合にのみ、CORSを許可します。こうすることで、セキュリティを向上させつつ、特定の信頼されたオリジンからのリクエストを柔軟に処理することができます。

セキュリティ上の注意点

特定のオリジンを許可する設定は、APIのアクセス制限を強化する有効な手段ですが、リクエストのオリジンを正確にチェックし、不要なオリジンを許可しないようにすることが重要です。また、Access-Control-Allow-Credentials を使用する場合は、許可するオリジンをワイルドカードで設定しないように注意しましょう。

メソッドの制限と許可

クロスオリジンリクエストを設定する際には、どのHTTPメソッドを許可するかを明確に指定する必要があります。REST APIは通常、GET、POST、PUT、DELETEなどのさまざまなメソッドを使用しますが、CORS設定では特定のメソッドだけを許可することで、セキュリティを強化することができます。

特定のHTTPメソッドを許可する

Access-Control-Allow-Methods ヘッダーを使用して、どのメソッドを許可するかを指定します。たとえば、GETとPOSTのみを許可する場合は次のように設定します。

header("Access-Control-Allow-Methods: GET, POST");

この設定により、クライアントが許可されたメソッド以外でリクエストを送信しようとすると、リクエストは拒否されます。

許可するメソッドの選定

REST APIでは、用途に応じて許可するメソッドを選定することが重要です。以下は、代表的なHTTPメソッドとその用途です。

• GET: データの取得に使用します。読み取り専用の操作であり、副作用を伴わないため、安全と見なされます。
• POST: データの送信や新しいリソースの作成に使用します。サーバーにデータを変更させる操作を伴います。
• PUT: 既存のリソースの更新に使用します。指定されたリソースを完全に置き換える操作を行います。
• DELETE: リソースの削除に使用します。サーバー上のデータに対して変更を加える操作です。

許可するメソッドは、APIの仕様やセキュリティ要件に応じて慎重に選択する必要があります。

OPTIONSメソッドの処理

CORSを使用する際には、プリフライトリクエストとしてOPTIONSメソッドが送信されることがあります。これは、ブラウザが実際のリクエストを送信する前に、サーバーがリクエストを許可するかどうかを確認するためのリクエストです。OPTIONSメソッドを適切に処理するためには、以下のようにヘッダーを設定します。

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    header("HTTP/1.1 200 OK");
    exit();
}

このコードにより、OPTIONSリクエストに対して必要なヘッダーを返し、リクエストが許可されたことを示します。これにより、ブラウザは本来のリクエストを安全に送信することができます。

メソッドの制限と許可は、REST APIのセキュリティを確保しつつ、必要な機能を適切に提供するために重要です。

プリフライトリクエストの対応

クロスオリジンリクエストでは、特定の状況下でプリフライトリクエスト（OPTIONSリクエスト）が送信されます。これは、ブラウザがサーバーに対して実際のリクエストを送信する前に、リクエストが許可されるかどうかを確認するための事前チェックです。プリフライトリクエストは特に、安全でないHTTPメソッド（POST、PUT、DELETEなど）やカスタムヘッダーを含むリクエストに対して送信されます。

プリフライトリクエストの目的

プリフライトリクエストは、サーバーがCORSの設定に従って、特定のリクエストを許可するかどうかをブラウザが事前に確認するために行います。これにより、リソースが安全に共有され、サーバー側のリスクが軽減されます。

OPTIONSリクエストの処理方法

PHPでプリフライトリクエストを処理するには、OPTIONS メソッドのリクエストに対して適切なヘッダーを返し、200ステータスコードを返す必要があります。以下のコード例では、プリフライトリクエストに対応する方法を示しています。

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("Access-Control-Allow-Origin: https://example.com");
    header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    header("Access-Control-Max-Age: 86400"); // キャッシュの有効期間を設定
    header("HTTP/1.1 200 OK");
    exit();
}

このコードでは、プリフライトリクエストを受けた場合に、CORSに関連するヘッダーを適切に設定して、リクエストを許可する準備が整っていることを示します。

重要なヘッダーの説明

プリフライトリクエストでは、いくつかのヘッダーを使用して設定を行います。

• Access-Control-Allow-Origin: 許可するオリジンを指定します。ワイルドカード（*）を使わず、特定のオリジンを設定することが推奨されます。
• Access-Control-Allow-Methods: 許可するHTTPメソッドを指定します。GET、POST、PUT、DELETE、OPTIONS などを含めます。
• Access-Control-Allow-Headers: 許可するカスタムヘッダーを指定します。Content-Type や Authorization などのヘッダーを設定します。
• Access-Control-Max-Age: プリフライトリクエストのキャッシュの有効期間を秒単位で指定します。これにより、ブラウザが一定期間プリフライトリクエストを省略できます。

プリフライトリクエストのエラーとその対処法

プリフライトリクエストが適切に処理されていない場合、ブラウザは本来のリクエストをブロックし、エラーメッセージがコンソールに表示されます。このような場合には、設定されているCORSヘッダーが正しいか、すべての必要なヘッダーが含まれているかを確認する必要があります。

プリフライトリクエストの正しい処理は、CORS設定を成功させるための重要なステップです。これにより、クライアントアプリケーションがサーバーと安全に通信できるようになります。

セキュリティのベストプラクティス

CORS設定は、リソースの共有を柔軟に制御できる便利な機能ですが、誤った設定を行うと重大なセキュリティリスクにつながります。REST APIを安全に運用するためには、CORSの設定を慎重に行い、セキュリティのベストプラクティスを遵守することが重要です。

許可するオリジンを限定する

Access-Control-Allow-Origin ヘッダーをワイルドカード（*）で設定すると、どのオリジンからのリクエストも許可されるため、セキュリティリスクが高まります。特定のオリジンだけを許可することで、信頼されたクライアントからのリクエストのみを受け入れるようにしましょう。

header("Access-Control-Allow-Origin: https://trusted-domain.com");

信頼できるオリジンのみを指定することで、APIの不正利用を防ぐことができます。

認証情報の取り扱いに注意する

認証情報（クッキー、HTTP認証ヘッダーなど）を含むリクエストを許可する場合は、Access-Control-Allow-Credentials ヘッダーを設定します。

header("Access-Control-Allow-Credentials: true");

ただし、このヘッダーを有効にする場合は、Access-Control-Allow-Origin で特定のオリジンを指定し、ワイルドカード（*）を使用しないように注意しましょう。そうしないと、セキュリティ上の脆弱性を招く可能性があります。

最小限のHTTPメソッドとヘッダーを許可する

CORS設定では、Access-Control-Allow-Methods と Access-Control-Allow-Headers により、許可するHTTPメソッドやリクエストヘッダーを指定します。セキュリティを強化するためには、必要最低限のメソッドとヘッダーのみを許可しましょう。

header("Access-Control-Allow-Methods: GET, POST");
header("Access-Control-Allow-Headers: Content-Type");

これにより、不要な操作が行われるリスクを減らし、APIのセキュリティを高めることができます。

プリフライトリクエストのキャッシュを活用する

Access-Control-Max-Age ヘッダーを設定することで、プリフライトリクエストのキャッシュを活用し、頻繁なリクエストの負荷を軽減できます。キャッシュ期間を適切に設定することで、プリフライトリクエストの頻度を減らし、APIのパフォーマンスを向上させることが可能です。

header("Access-Control-Max-Age: 3600"); // 1時間キャッシュ

不正なリクエストの監視と制御

CORS設定を適切に行ったとしても、悪意のあるリクエストが完全に排除されるわけではありません。ファイアウォールやリクエストのロギングを活用して、不正なリクエストを検出・制御する仕組みを導入しましょう。APIの使用状況を監視し、異常なアクセスパターンが見られた場合は、必要な対策を講じることが重要です。

これらのベストプラクティスを実施することで、CORS設定をセキュアに保ちながら、柔軟で安全なREST APIを運用することができます。

実践的なコード例

ここでは、PHPでCORSを設定する具体的なコード例を紹介します。実際のREST APIで使用できるサンプルを示し、CORS設定を柔軟に行う方法を解説します。

基本的なCORS設定の例

まず、すべてのオリジンからのリクエストを許可するシンプルな例です。このコードは、APIのエントリポイントに配置して使用します。

<?php
// CORS設定
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization");

// その他のAPIロジック
echo json_encode(["message" => "CORS設定が適用されました。"]);

この例では、どのオリジンからのリクエストも許可し、GET、POST、OPTIONSメソッドをサポートします。また、Content-Type と Authorization ヘッダーの使用を許可しています。

特定のオリジンと認証情報を含むリクエストを許可する例

特定のオリジンのみを許可し、クッキーや認証情報を含むリクエストを許可する場合の設定です。

<?php
$allowed_origin = "https://trusted-domain.com";

if (isset($_SERVER['HTTP_ORIGIN']) && $_SERVER['HTTP_ORIGIN'] === $allowed_origin) {
    header("Access-Control-Allow-Origin: $allowed_origin");
    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    header("Access-Control-Allow-Credentials: true"); // 認証情報を許可
}

// プリフライトリクエストの処理
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("HTTP/1.1 200 OK");
    exit();
}

// 実際のAPI処理
echo json_encode(["message" => "認証情報を含むリクエストが許可されました。"]);

このコードでは、https://trusted-domain.com からのリクエストのみを許可し、認証情報を含むリクエストをサポートします。OPTIONSリクエストに対するプリフライト処理も実装しています。

複数のオリジンを許可する例

複数のオリジンを許可する場合、配列を使用してリストを管理し、リクエスト元のオリジンがリストに含まれているかをチェックします。

<?php
$allowed_origins = ["https://example1.com", "https://example2.com"];

if (isset($_SERVER['HTTP_ORIGIN']) && in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
}

// プリフライトリクエストの処理
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("HTTP/1.1 200 OK");
    exit();
}

// その他のAPI処理
echo json_encode(["message" => "複数のオリジンが許可されました。"]);

この例では、https://example1.com および https://example2.com の2つのオリジンからのリクエストのみを許可します。

エラーハンドリングの追加

CORS設定の一部として、リクエストが許可されない場合にはエラーメッセージを返すように設定することも可能です。

<?php
$allowed_origin = "https://trusted-domain.com";

if (!isset($_SERVER['HTTP_ORIGIN']) || $_SERVER['HTTP_ORIGIN'] !== $allowed_origin) {
    header("HTTP/1.1 403 Forbidden");
    echo json_encode(["error" => "このオリジンからのリクエストは許可されていません。"]);
    exit();
}

// CORS設定
header("Access-Control-Allow-Origin: $allowed_origin");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization");

// プリフライトリクエストの処理
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("HTTP/1.1 200 OK");
    exit();
}

// API処理
echo json_encode(["message" => "リクエストが正常に処理されました。"]);

このコードは、許可されていないオリジンからのリクエストに対して403エラーを返し、CORS設定のセキュリティをさらに強化します。

これらの実践的なコード例により、PHPでのCORS設定が具体的にどのように実装されるかを理解し、REST APIを安全かつ柔軟に管理できるようになります。

トラブルシューティング

CORSの設定において、よくあるエラーや問題の原因を把握し、それに対する対処法を知っておくことは重要です。ここでは、一般的なCORS関連のエラーとその解決方法を紹介します。

「CORSポリシーによってブロックされました」というエラー

このエラーは、ブラウザがサーバーから適切なCORSヘッダーを受け取れなかった場合に発生します。多くの場合、Access-Control-Allow-Origin ヘッダーが設定されていないか、リクエスト元のオリジンが許可リストに含まれていないことが原因です。

解決方法:

• Access-Control-Allow-Origin ヘッダーが正しく設定されているかを確認します。特定のオリジンを許可する場合は、そのオリジンがリクエスト元と一致していることを確認してください。
• 必要に応じて、ワイルドカード（*）を使用して一時的にすべてのオリジンを許可することも検討できますが、セキュリティ上のリスクがあるため、開発環境のみで使用するようにしましょう。

「プリフライトリクエストが失敗しました」というエラー

プリフライトリクエスト（OPTIONSリクエスト）がサーバーによって拒否された場合に発生します。このエラーは、Access-Control-Allow-Methods または Access-Control-Allow-Headers が適切に設定されていないことが原因であることが多いです。

解決方法:

• サーバーがプリフライトリクエストに対して Access-Control-Allow-Methods ヘッダーを返しているか確認します。リクエストで使用するメソッド（例：POST、PUT、DELETE）が含まれているかを確認してください。
• Access-Control-Allow-Headers に、リクエストで使用するカスタムヘッダーが含まれているか確認します。

「Access-Control-Allow-Credentialsが設定されている場合、オリジンにワイルドカード（*）を使用できません」というエラー

このエラーは、Access-Control-Allow-Credentials ヘッダーが有効になっている場合に、Access-Control-Allow-Origin にワイルドカード（*）が指定されていることが原因で発生します。

解決方法:

• Access-Control-Allow-Origin で特定のオリジンを設定し、ワイルドカードを使用しないようにします。たとえば、header("Access-Control-Allow-Origin: https://example.com"); のように設定します。

クライアント側のデバッグ手法

CORSの問題が発生した場合、ブラウザのデベロッパーツールを使用してエラーの詳細を確認できます。コンソールに表示されるエラーメッセージを注意深く読み、どのヘッダーが不足しているのか、どのオリジンが許可されていないのかを特定しましょう。

• ネットワークタブ: リクエストとレスポンスのヘッダーを確認し、サーバーが適切なCORSヘッダーを返しているかをチェックします。
• コンソール: エラーメッセージを参照して、どの設定が不足しているかを特定します。

サーバー側のデバッグ方法

サーバーのログを確認することで、CORS設定の問題を特定できる場合があります。特に、OPTIONS リクエストがサーバーに到達しているか、どのヘッダーが返されているかを確認しましょう。

• PHPのエラーログ: CORS関連の設定に関するエラーログを出力するように設定し、原因を追跡します。
• HTTPステータスコード: サーバーがプリフライトリクエストに対して正しいステータスコード（200 OKなど）を返しているかを確認します。

キャッシュが原因で設定変更が反映されない場合

ブラウザはプリフライトリクエストの結果をキャッシュするため、設定を変更してもすぐに反映されない場合があります。

解決方法:

• Access-Control-Max-Age ヘッダーの値を短く設定し、キャッシュ期間を制限します。
• ブラウザのキャッシュをクリアして、最新の設定を取得するようにします。

これらの対処方法を実施することで、CORS設定の問題を解決し、クロスオリジンリクエストが正しく動作するようにできます。

まとめ

本記事では、PHPでREST APIに対するCORSの設定方法を詳しく解説しました。CORSの基本概念から、具体的なヘッダーの設定、セキュリティを考慮したベストプラクティス、よくあるエラーとそのトラブルシューティング方法について説明しました。

適切なCORS設定は、クロスオリジンリクエストを安全に管理し、REST APIの柔軟な利用を可能にする重要な要素です。今回紹介した手順と対策を実践することで、より安全で効率的なAPI開発が実現できます。