MENU
  1. ホーム
  2. Apache
  3. Apacheで動的オリジンリストを許可するCORS設定方法を解説

Apacheで動的オリジンリストを許可するCORS設定方法を解説

Apache

CORS(Cross-Origin Resource Sharing)は、異なるオリジン(ドメイン)間でのリソース共有を可能にする仕組みです。Webアプリケーションでは、ブラウザのセキュリティモデルにより、異なるオリジンからのリクエストはデフォルトでブロックされます。これを回避するために、サーバー側でCORS設定を行い、安全にオリジン間通信を許可する必要があります。

特に、APIを提供するWebサービスでは、動的に変化するオリジンを許可したいケースがあります。例えば、サブドメインや複数のフロントエンドアプリケーションからのアクセスを柔軟に許可したい場合です。

本記事では、Apacheサーバーで動的なオリジンリストを許可する方法について、基本的なCORSの概念から実際の設定方法、セキュリティリスクまで詳しく解説します。動的CORS設定を正しく行うことで、利便性とセキュリティのバランスを保ちながら、柔軟なWebサービスを構築できます。

目次

CORSとは何か?仕組みと重要性


CORS(Cross-Origin Resource Sharing)は、異なるオリジン間でのリソース共有を安全に行うための仕組みです。

オリジンとは


オリジンとは、URLのスキーム(http/https)、ホスト名(ドメイン)、ポート番号の組み合わせです。例えば、https://example.com:443がオリジンです。ブラウザはセキュリティの観点から、異なるオリジンへのリクエストを制限する「同一オリジンポリシー」を採用しています。

CORSの役割


CORSは、異なるオリジンへのアクセスを許可するためのHTTPヘッダーを追加することで、ブラウザに「このオリジンからのリクエストは安全である」と伝えます。これにより、フロントエンドアプリケーションが異なるサーバーのAPIを利用することが可能になります。

なぜCORSが重要なのか


CORSは、以下の理由からWebセキュリティにおいて重要な役割を果たします。

  • セキュリティ向上:不正なクロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)を防ぐ。
  • APIの柔軟性:フロントエンドとバックエンドを異なるドメインで分離する設計が可能。
  • 利便性の向上:マイクロサービスアーキテクチャなどで、複数のサーバーからデータを取得しやすくなる。

CORSは、Webアプリケーションの柔軟性と安全性を両立するために欠かせない技術です。次のセクションでは、ApacheでのCORS設定の基本を解説します。

ApacheでのCORS設定の基本


ApacheサーバーでCORSを有効にするには、適切なHTTPヘッダーを設定する必要があります。Apacheでは、mod_headersモジュールを使用してCORSヘッダーを追加します。

基本的な設定方法


Apacheの設定ファイル(例: .htaccesshttpd.conf)に以下のディレクティブを追加します。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
</IfModule>

この設定は、すべてのオリジンからのリクエストを許可します。* はワイルドカードで、任意のオリジンからのアクセスを受け入れます。

特定のオリジンのみ許可する例


特定のオリジンからのリクエストだけを許可する場合は、以下のようにオリジンを指定します。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "https://example.com"
</IfModule>

これにより、https://example.com からのリクエストだけが許可されます。

他のCORSヘッダーの設定


CORS設定では、以下のように他のヘッダーも必要になる場合があります。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "https://example.com"
    Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
    Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>
  • Access-Control-Allow-Methods: 許可するHTTPメソッド(例:GET、POST)を指定。
  • Access-Control-Allow-Headers: クライアントが送信できるカスタムヘッダーを指定。

プリフライトリクエストの対応


CORSでは、OPTIONS メソッドを使ったプリフライトリクエストが送信されることがあります。これに対応するため、以下の設定を追加します。

<IfModule mod_headers.c>
    Header always set Access-Control-Allow-Origin "https://example.com"
    Header always set Access-Control-Allow-Methods "GET, POST, OPTIONS"
    Header always set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>

always を使用することで、エラーが発生した場合でもCORSヘッダーが返されます。

Apacheでの基本的なCORS設定は以上です。次のセクションでは、動的にオリジンを許可する方法について解説します。

動的オリジンを許可する方法とは


特定のオリジンだけでなく、動的にリクエスト元のオリジンを許可するには、Apacheでリクエストヘッダーを参照してレスポンスを生成する方法を使います。これにより、柔軟にCORSを設定できます。

動的オリジン許可の仕組み


動的オリジンの許可は、クライアントのリクエストヘッダー Origin を読み取り、その値をレスポンスの Access-Control-Allow-Origin にセットする方法です。これにより、どのオリジンからでも許可されたかのように振る舞います。

Apacheでの設定例


以下は、Apacheで動的オリジンを許可する具体的な設定例です。

<IfModule mod_headers.c>
    SetEnvIf Origin "^https://(example1\.com|example2\.com)$" origin_match=$0
    Header set Access-Control-Allow-Origin "%{origin_match}e" env=origin_match
    Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
    Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>

設定の解説

  • SetEnvIf Origin: リクエストの Origin ヘッダーを評価し、許可するオリジンと一致する場合に環境変数 origin_match に設定します。
  • Header set Access-Control-Allow-Origin: origin_match にセットされたオリジンをCORSヘッダーに反映します。
  • env=origin_match: 環境変数が存在する場合にのみ、CORSヘッダーを送信します。

すべてのオリジンを許可する方法


以下のように記述することで、すべてのオリジンからのリクエストを動的に許可できます。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "%{HTTP_ORIGIN}e" env=HTTP_ORIGIN
    Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
    Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>

この設定では、どのオリジンからのリクエストでも自動的に Access-Control-Allow-Origin に設定されます。

注意点

  • セキュリティの観点から、すべてのオリジンを許可する設定は慎重に行う必要があります。
  • 信頼できるオリジンのみを動的に許可するように制限することで、不正なアクセスを防ぐことができます。

次のセクションでは、mod_headers の導入と具体的な設定方法についてさらに詳しく説明します。

mod_headersの導入と設定例


ApacheでCORS設定を行うには、mod_headers モジュールが必要です。このモジュールは、HTTPレスポンスヘッダーを柔軟に制御するために使用されます。ここでは、mod_headers のインストールから具体的な設定例までを詳しく解説します。

mod_headersのインストール


mod_headers がインストールされていない場合は、以下のコマンドでインストールします。
Debian/Ubuntu系

sudo a2enmod headers
sudo systemctl restart apache2


CentOS/RHEL系

sudo yum install mod_headers
sudo systemctl restart httpd


インストール後、Apacheを再起動してモジュールを有効化します。

mod_headersを使った基本的なCORS設定


以下は、mod_headers を使用してCORSヘッダーを追加する基本的な例です。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
    Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
    Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>


この設定により、すべてのオリジンからのリクエストが許可され、GETPOSTOPTIONS メソッドが使用可能になります。

特定のオリジンのみ許可する例


特定のオリジンのみ許可する場合は、以下のように記述します。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "https://example.com"
    Header set Access-Control-Allow-Methods "GET, POST"
</IfModule>


これにより、https://example.com からのリクエストのみが許可されます。

動的オリジン許可の具体例


動的にオリジンを許可する方法も mod_headers で実現できます。

<IfModule mod_headers.c>
    SetEnvIf Origin "^https://(example1\.com|example2\.com)$" origin_match=$0
    Header set Access-Control-Allow-Origin "%{origin_match}e" env=origin_match
    Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
    Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>


この設定により、example1.comexample2.com からのリクエストのみ動的に許可されます。

プリフライトリクエストへの対応


CORSでは、OPTIONS メソッドによるプリフライトリクエストが送信されます。以下の設定で、プリフライトリクエストに対応します。

<IfModule mod_headers.c>
    Header always set Access-Control-Allow-Origin "*"
    Header always set Access-Control-Allow-Methods "GET, POST, OPTIONS"
    Header always set Access-Control-Allow-Headers "Content-Type, Authorization"
    Header always set Access-Control-Max-Age "3600"
</IfModule>
  • Access-Control-Max-Age: プリフライトリクエストの結果をキャッシュする時間を指定します(秒単位)。

設定後の確認方法


設定後、以下のコマンドでApacheの構文を確認し、エラーがないかチェックします。

sudo apachectl configtest


問題がなければApacheを再起動して反映します。

sudo systemctl restart apache2

これで、Apacheにおける mod_headers を使ったCORS設定が完了します。次のセクションでは、セキュリティリスクとその対策について解説します。

セキュリティリスクとその対策


動的オリジンを許可するCORS設定は便利ですが、不適切に設定するとセキュリティリスクを引き起こします。特に、すべてのオリジンを許可するワイルドカード(*)の使用は慎重に行う必要があります。本セクションでは、主なリスクとその対策を詳しく解説します。

主なセキュリティリスク

1. 不正なオリジンからのアクセス


ワイルドカード(*)を使用すると、信頼できないオリジンからのリクエストも許可されてしまいます。これにより、不正なWebサイトがユーザーのデータを窃取するリスクが生じます。

2. クロスサイトスクリプティング(XSS)との併用リスク


XSS脆弱性が存在するサイトでCORS設定が不適切だと、悪意のあるスクリプトが他のオリジンからデータを自由に取得できるようになります。

3. 認証情報の漏洩


Access-Control-Allow-Credentials: true を設定している場合、クッキーや認証トークンが送信されます。この設定が不適切な場合、悪意のあるオリジンにユーザーのセッション情報が漏洩する可能性があります。

効果的な対策

1. 許可するオリジンを限定する


動的オリジンを許可する際は、信頼できるオリジンのみに制限します。例えば、以下のように正規表現を使って特定のオリジンだけを許可します。

<IfModule mod_headers.c>
    SetEnvIf Origin "^https://(example1\.com|example2\.com)$" origin_match=$0
    Header set Access-Control-Allow-Origin "%{origin_match}e" env=origin_match
</IfModule>

2. 認証情報の送信を制限


クッキーや認証情報を含める場合は、信頼できるオリジンのみに設定します。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "https://example.com"
    Header set Access-Control-Allow-Credentials "true"
</IfModule>

3. プリフライトリクエストの強化


OPTIONS メソッドのプリフライトリクエストで、必要最低限のオリジンとメソッドのみを許可します。

<IfModule mod_headers.c>
    Header always set Access-Control-Allow-Origin "https://example.com"
    Header always set Access-Control-Allow-Methods "GET, POST"
    Header always set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>

4. エラーレスポンスにCORSヘッダーを付与しない


エラー時にCORSヘッダーを返すと、攻撃者にサーバーの詳細が漏れる可能性があります。これを防ぐために、always の代わりに set を使用します。

Header set Access-Control-Allow-Origin "https://example.com"

セキュリティ設定の確認


CORS設定後は、以下のツールを使って適切に設定されているか確認します。

  • ブラウザの開発者ツールでネットワーク通信を確認
  • curl コマンドでCORSレスポンスをチェック
curl -I -H "Origin: https://example.com" https://api.example.com

セキュリティリスクを考慮しつつCORSを適切に設定することで、安全で柔軟なWebサービスの運用が可能になります。次のセクションでは、特定パスへのCORS適用方法について解説します。

応用例:特定パスのみにCORS設定を適用


CORS設定をApache全体に適用するのではなく、特定のパスやAPIエンドポイントにのみCORSを適用することが可能です。これにより、セキュリティを強化しつつ、必要な範囲で柔軟にCORSを設定できます。

特定のパスにCORSを適用する方法


以下の例では、/api 以下のパスにのみCORS設定を適用します。

<IfModule mod_headers.c>
    <Location "/api">
        Header set Access-Control-Allow-Origin "*"
        Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
        Header set Access-Control-Allow-Headers "Content-Type, Authorization"
    </Location>
</IfModule>


この設定により、/api エンドポイントへのリクエストに対してのみCORSヘッダーが追加されます。他のパスではCORSが適用されません。

サブディレクトリ単位でのCORS設定


サブディレクトリ単位でCORSを設定する場合は、<Directory> ディレクティブを使用します。

<IfModule mod_headers.c>
    <Directory "/var/www/html/api">
        Header set Access-Control-Allow-Origin "https://example.com"
        Header set Access-Control-Allow-Methods "GET, POST"
    </Directory>
</IfModule>


この例では、/var/www/html/api ディレクトリ内のファイルに対してCORSが適用されます。

ファイルタイプごとのCORS設定


特定のファイルタイプにのみCORSを適用することも可能です。

<IfModule mod_headers.c>
    <FilesMatch "\.(json|xml)$">
        Header set Access-Control-Allow-Origin "*"
    </FilesMatch>
</IfModule>


この設定では、jsonxml ファイルにアクセスする際にのみCORSが適用されます。

APIエンドポイント別の設定例


APIエンドポイントごとに異なるCORS設定を行うこともできます。

<IfModule mod_headers.c>
    <Location "/api/v1">
        Header set Access-Control-Allow-Origin "https://app1.example.com"
    </Location>
    <Location "/api/v2">
        Header set Access-Control-Allow-Origin "https://app2.example.com"
    </Location>
</IfModule>


この例では、/api/v1app1.example.com からのアクセスのみ許可し、/api/v2app2.example.com のみ許可します。

注意点

  • 必要最小限のパスにCORSを適用し、過剰なオリジン許可を避けることで、セキュリティを強化できます。
  • プリフライトリクエスト (OPTIONS) も考慮し、適切に設定する必要があります。
  • 設定後は、ブラウザの開発者ツールを使用してCORSレスポンスヘッダーが正しく適用されているか確認してください。

特定パスへのCORS設定は、セキュリティと柔軟性を両立させるための重要な手段です。次のセクションでは、記事のまとめを行います。

まとめ


本記事では、Apacheで動的オリジンリストを許可するCORS設定方法について詳しく解説しました。

CORSの基本概念から、Apacheでの設定方法、動的オリジンの許可、mod_headersの導入方法まで、実践的な例を交えて説明しました。また、セキュリティリスクへの対策や特定のパスにCORSを適用する方法など、応用的な内容も取り上げました。

動的CORS設定は非常に便利ですが、適切に制限を設けなければセキュリティリスクを招く可能性があります。信頼できるオリジンのみを許可し、必要なパスやAPIエンドポイントに限定して設定することで、安全かつ柔軟なWebサービスの運用が可能になります。

CORS設定は、フロントエンドとバックエンドのスムーズな連携に欠かせない要素です。今回の内容を参考に、自身のプロジェクトで適切なCORS設定を行いましょう。

Apache
Apache CORS Webセキュリティ オリジン設定

コメント

コメントする

目次