ApacheでCORSのプリフライトリクエストを有効化する方法を徹底解説

ApacheでCORS（Cross-Origin Resource Sharing）のプリフライトリクエストを適切に設定することは、セキュリティと機能の両面で重要です。特に、REST APIやSPA（シングルページアプリケーション）では、異なるオリジンからのリクエストを処理する必要があり、CORSの設定が不可欠です。

プリフライトリクエストは、ブラウザが本リクエストを送信する前にサーバーへOPTIONSリクエストを送り、安全性を確認する仕組みです。しかし、Apacheで正しく設定されていない場合、リクエストがブロックされることがあります。

本記事では、CORSの基本的な概念から、Apacheでプリフライトリクエストを有効化する具体的な設定方法まで詳しく解説します。さらに、動作確認の手順やエラーが発生した際のトラブルシューティング方法も紹介します。この記事を読むことで、CORSエラーを回避し、安全でスムーズなクロスオリジン通信を実現できるようになります。

CORSとプリフライトリクエストの基礎知識

CORS（Cross-Origin Resource Sharing）は、異なるオリジン（ドメイン、プロトコル、ポートの組み合わせ）間でリソースを共有する仕組みです。デフォルトでは、ブラウザはセキュリティの観点から異なるオリジンへのリクエストを制限していますが、CORSを正しく設定することでこれを許可できます。

オリジン間リソース共有の必要性

現代のWebアプリケーションでは、APIサーバーとフロントエンドアプリケーションが異なるドメインで動作することが一般的です。例えば、https://api.example.com で提供されるAPIを https://app.example.com から呼び出す場合、CORSが必要となります。

プリフライトリクエストとは

プリフライトリクエストは、ブラウザがセキュリティのために送信する事前確認のためのOPTIONSリクエストです。特定の条件を満たすリクエスト（例：PUTやDELETEメソッド、非標準のヘッダーを含むリクエスト）が送られる前に、サーバーが対応可能かを確認します。サーバーが適切なCORSヘッダーを返すことで、本リクエストが許可されます。

プリフライトが必要となるケース

• Content-Typeがapplication/json以外の場合
• 認証ヘッダー（Authorization）を含むリクエスト
• PUT、DELETEなどの安全でないHTTPメソッドを使用する場合

CORSとプリフライトリクエストを理解することで、クロスオリジン通信のトラブルを回避し、より安全なWebサービスを提供できるようになります。

ApacheでのCORS設定の基本

ApacheでCORSを設定するには、主にmod_headersモジュールを使用します。このモジュールを使って、サーバーから適切なCORSヘッダーを付与し、異なるオリジンからのリクエストを許可するように構成します。

必要なモジュールの有効化

まず、Apacheでmod_headersモジュールが有効であることを確認します。有効でない場合は、以下のコマンドでモジュールを有効化します。

sudo a2enmod headers
sudo systemctl restart apache2

CORSを許可する基本設定

次に、Apacheの設定ファイル（httpd.confや.htaccess）でCORSを許可するディレクティブを追加します。以下は、すべてのオリジンからのリクエストを許可する最も基本的な設定例です。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
</IfModule>

特定のオリジンのみを許可したい場合は、ワイルドカード（*）の代わりに具体的なオリジンを指定します。

Header set Access-Control-Allow-Origin "https://example.com"

メソッドの指定

プリフライトリクエストや特定のHTTPメソッドを許可する場合は、Access-Control-Allow-Methodsヘッダーを追加します。

Header set Access-Control-Allow-Methods "GET, POST, OPTIONS, PUT, DELETE"

ヘッダーの指定

クライアント側が特定のカスタムヘッダーを送信する場合は、以下のようにAccess-Control-Allow-Headersを設定します。

Header set Access-Control-Allow-Headers "Content-Type, Authorization"

この基本設定により、Apacheがクロスオリジンリクエストを受け付ける準備が整います。次のステップでは、プリフライトリクエストの具体的な動作メカニズムについて解説します。

プリフライトリクエストの動作メカニズム

プリフライトリクエストは、ブラウザがクロスオリジンリクエストの安全性を確認するために行う事前確認リクエストです。このリクエストは、通常のリクエストが送信される前に、自動的にOPTIONSメソッドで送信されます。

プリフライトリクエストの流れ

1. ブラウザがOPTIONSリクエストを送信
   クライアントがクロスオリジンリクエストを送信する際、ブラウザは最初にOPTIONSリクエストをサーバーに送ります。これがプリフライトリクエストです。
2. サーバーがCORSヘッダーで応答
   サーバーはAccess-Control-*ヘッダーを含んだレスポンスを返し、リクエストを許可するか否かをブラウザに伝えます。
3. ブラウザがレスポンスを確認
   サーバーからのレスポンスが正しければ、ブラウザは実際のリクエスト（本リクエスト）を送信します。

プリフライトリクエストの例

以下は、ブラウザが送信するOPTIONSリクエストの例です。

OPTIONS /api/data HTTP/1.1
Host: api.example.com
Origin: https://app.example.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: Authorization

サーバーがこれに応答する際のレスポンス例は以下の通りです。

HTTP/1.1 204 No Content
Access-Control-Allow-Origin: https://app.example.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Max-Age: 3600

主なCORSレスポンスヘッダー

• Access-Control-Allow-Origin：リクエストを許可するオリジンを指定
• Access-Control-Allow-Methods：許可するHTTPメソッドを指定
• Access-Control-Allow-Headers：許可するリクエストヘッダーを指定
• Access-Control-Max-Age：プリフライトリクエストの結果をキャッシュする時間（秒）

このプロセスにより、ブラウザは本リクエストを安全に送信できるかを事前に確認します。次のセクションでは、Apacheでプリフライトリクエストを有効化する具体的な設定方法を解説します。

プリフライトリクエストを有効化する設定方法

Apacheでプリフライトリクエストを有効にするには、OPTIONSメソッドへの適切な応答を設定し、必要なCORSヘッダーを付与することが重要です。以下では、具体的な設定方法を解説します。

Apacheの設定ファイルを編集

ApacheのCORS設定は、仮想ホストファイルや.htaccessファイルに記述します。サーバー全体に適用する場合は、httpd.confやapache2.confに記述します。

基本的なCORS設定例

すべてのオリジンからのプリフライトリクエストを許可する設定は以下の通りです。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
    Header set Access-Control-Allow-Methods "GET, POST, OPTIONS, PUT, DELETE"
    Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>

# OPTIONSメソッドに対する処理
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} OPTIONS
    RewriteRule ^(.*)$ $1 [R=200,L]
</IfModule>

特定のオリジンのみ許可する例

セキュリティを高めるため、特定のオリジンからのリクエストのみを許可する設定も可能です。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "https://app.example.com"
    Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
    Header set Access-Control-Allow-Headers "Content-Type, X-Custom-Header"
    Header set Access-Control-Max-Age "3600"
</IfModule>

設定のポイント

• Access-Control-Allow-Origin：オリジンを指定します。ワイルドカード（*）を使うとすべてのオリジンを許可しますが、セキュリティ上は特定のオリジンを指定することが推奨されます。
• Access-Control-Allow-Methods：許可するHTTPメソッドを明示します。OPTIONSメソッドは必須です。
• Access-Control-Allow-Headers：リクエストで許可するヘッダーを指定します。クライアントが独自のヘッダーを送信する場合は、ここに明記する必要があります。
• Access-Control-Max-Age：プリフライトリクエストの結果をキャッシュする秒数です。頻繁にリクエストが発生する場合は、キャッシュ時間を長めに設定するとパフォーマンスが向上します。

.htaccessファイルでの設定

.htaccessファイルでも同様の設定が可能です。

Header set Access-Control-Allow-Origin "*"
Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
Header set Access-Control-Allow-Headers "Content-Type, Authorization"

この設定により、Apacheがプリフライトリクエストに適切に応答し、クロスオリジンのリクエストが正常に処理されるようになります。次は、これらの設定が正しく動作するかを確認する方法を解説します。

設定の動作確認とデバッグ方法

ApacheでCORSのプリフライトリクエスト設定を行った後は、正しく動作しているか確認することが重要です。ブラウザやコマンドラインツールを使った検証方法を解説します。

ブラウザのデバッグツールを使用する

1. 対象のWebアプリケーションを開く
   クロスオリジンでAPIリクエストが行われるページを開きます。
2. デベロッパーツールを起動

• ChromeやFirefoxで「F12」または「Ctrl + Shift + I」を押してデベロッパーツールを開きます。
• 「ネットワーク」タブを選択します。

1. プリフライトリクエストの確認

• APIリクエストを実行し、「ネットワーク」タブにOPTIONSリクエストが表示されるか確認します。
• 該当のリクエストをクリックし、レスポンスヘッダーにAccess-Control-Allow-OriginやAccess-Control-Allow-Methodsが含まれているかをチェックします。

コマンドラインでの確認（cURL）

以下のcurlコマンドを使用して、プリフライトリクエストが適切に応答しているか確認できます。

curl -X OPTIONS https://api.example.com/data \
-H "Origin: https://app.example.com" \
-H "Access-Control-Request-Method: POST" \
-H "Access-Control-Request-Headers: Authorization"

サーバーが適切に設定されていれば、以下のようなレスポンスが返ります。

HTTP/1.1 204 No Content
Access-Control-Allow-Origin: https://app.example.com
Access-Control-Allow-Methods: GET, POST, OPTIONS
Access-Control-Allow-Headers: Authorization
Access-Control-Max-Age: 3600

エラーが発生した場合の確認ポイント

1. CORSエラーの種類を確認

• ブラウザのコンソールにCORS policy関連のエラーが表示されている場合、設定が不十分な可能性があります。
• エラーメッセージを確認し、不足しているヘッダーを特定します。

1. Apacheのログを確認

   sudo tail -f /var/log/apache2/access.log
   sudo tail -f /var/log/apache2/error.log

Apacheのエラーログやアクセスログを確認し、OPTIONSリクエストが適切に処理されているか確認します。

3. 設定ファイルの記述ミス

• .htaccessやhttpd.confの記述に誤りがないか再確認します。
• mod_headersやmod_rewriteが有効になっているかも確認してください。

   sudo a2enmod headers
   sudo a2enmod rewrite
   sudo systemctl restart apache2

この手順で、プリフライトリクエストが正しく処理されているかを確認し、必要に応じて設定を修正できます。次は、CORS設定でよく発生する問題とその解決方法について解説します。

よくある問題とその解決方法

ApacheでCORSのプリフライトリクエストを設定する際には、いくつかの一般的な問題が発生することがあります。ここでは、頻出するエラーとその解決方法を解説します。

1. `Access-Control-Allow-Origin`が返されない

原因: mod_headersが無効、または設定が不足している可能性があります。
解決方法:

• mod_headersが有効か確認し、無効の場合は以下のコマンドで有効化します。

  sudo a2enmod headers
  sudo systemctl restart apache2

• .htaccessやhttpd.confに以下を追加し、特定のオリジンまたはすべてのオリジンを許可します。

  Header set Access-Control-Allow-Origin "*"

• 特定のオリジンを許可する場合は以下のように記述します。

  Header set Access-Control-Allow-Origin "https://app.example.com"

2. プリフライトリクエストが`405 Method Not Allowed`で失敗する

原因: OPTIONSメソッドがサーバーで許可されていません。
解決方法:

• ApacheでOPTIONSメソッドを許可する設定を行います。

  <Directory /var/www/html>
      Options +FollowSymLinks
      AllowOverride All
      Require all granted
  </Directory>

  <IfModule mod_rewrite.c>
      RewriteEngine On
      RewriteCond %{REQUEST_METHOD} OPTIONS
      RewriteRule ^(.*)$ $1 [R=200,L]
  </IfModule>

• 上記でリライトルールを設定し、OPTIONSリクエストを正常に処理できるようにします。

3. `Access-Control-Allow-Headers`が不足している

原因: クライアントが送信するカスタムヘッダーが、サーバーで許可されていません。
解決方法:

• 必要なヘッダーを許可する設定を追加します。

  Header set Access-Control-Allow-Headers "Content-Type, Authorization, X-Custom-Header"

4. `Access-Control-Allow-Methods`が不足している

原因: クライアントがPUTやDELETEなどのメソッドを使用しているが、サーバーで許可されていません。
解決方法:

• 許可するメソッドを設定ファイルに追加します。

  Header set Access-Control-Allow-Methods "GET, POST, OPTIONS, PUT, DELETE"

5. プリフライトリクエストが毎回発生する

原因: サーバーがプリフライトリクエストの結果をキャッシュしていません。
解決方法:

• Access-Control-Max-Ageヘッダーを追加し、キャッシュ時間を指定します。

  Header set Access-Control-Max-Age "3600"

これにより、1時間（3600秒）プリフライトリクエストの結果がキャッシュされ、不要なリクエストが減少します。

6. オリジンのワイルドカードと認証ヘッダーの競合

原因: Access-Control-Allow-Originが*の状態で、Authorizationヘッダーを使用しています。
解決方法:

• *ではなく特定のオリジンを指定する必要があります。

  Header set Access-Control-Allow-Origin "https://app.example.com"
  Header set Access-Control-Allow-Credentials "true"

これらの設定ミスを避けることで、CORS関連のエラーを最小限に抑え、スムーズなクロスオリジン通信を実現できます。次は、記事のまとめを行います。

まとめ

本記事では、ApacheでCORS（クロスオリジンリソース共有）のプリフライトリクエストを有効化する方法について解説しました。CORSの基本概念から始まり、Apacheでの具体的な設定方法、動作確認の手順、そしてよくある問題とその解決方法までを詳しく説明しました。

プリフライトリクエストの正しい設定は、異なるオリジン間で安全にAPIを利用するために不可欠です。OPTIONSメソッドの処理やAccess-Control-*ヘッダーの設定を適切に行うことで、CORSエラーを回避し、アプリケーションの安定性が向上します。

これらの知識を活用し、安全でスムーズなWebサービスの運用に役立ててください。