Apache mod_rewriteでクロスドメインリクエストを制御する方法を徹底解説

クロスドメインリクエストの制御は、Webアプリケーションのセキュリティやリソース保護において非常に重要です。特に、複数のドメイン間でデータをやり取りする際、不正なリクエストやセキュリティリスクを防ぐ必要があります。

Apacheのmod_rewriteモジュールは、URLのリライトや条件付きリダイレクトを可能にする強力なツールです。このモジュールを活用することで、クロスドメインリクエストを細かく制御し、特定のドメインからのアクセスだけを許可したり、不正なリクエストをブロックしたりすることができます。

本記事では、mod_rewriteの基本的な使い方からクロスドメインリクエストの原理、さらに実践的な設定例まで、初心者にもわかりやすく徹底解説します。これにより、Apacheを利用したWebアプリケーションのセキュリティレベルを向上させ、安全なリクエスト制御を実現できます。

mod_rewriteとは？

mod_rewriteは、Apache HTTPサーバーで提供されるモジュールで、URLのリライト（書き換え）を行う機能を持ちます。これにより、リクエストされたURLを動的に変更し、異なる場所に転送したり、特定の条件に基づいてアクセスを制御したりすることが可能になります。

mod_rewriteの役割

mod_rewriteの主な役割は以下の通りです：

• URLのリダイレクト：リクエストされたURLを他のURLへ転送。
• 条件付きアクセス制御：特定の条件（IPアドレス、ドメイン名など）を満たすリクエストだけを許可または拒否。
• フレンドリーURLの生成：動的なURLを静的な形式に変換し、SEOやユーザビリティを向上させる。

mod_rewriteの基本構文

mod_rewriteは、.htaccessファイルやApacheの設定ファイル内で設定できます。基本的な構文は以下のようになります：

RewriteEngine On  
RewriteCond 条件式  
RewriteRule パターン 書き換え先 [フラグ]  

例：

RewriteEngine On  
RewriteCond %{HTTP_HOST} ^www\.example\.com$  
RewriteRule ^(.*)$ http://example.com/$1 [R=301,L]  

この例では、www.example.comへのリクエストをexample.comへリダイレクトします。

mod_rewriteの利点

• 柔軟なURL制御が可能。
• クロスドメインリクエストの管理やセキュリティ向上に貢献。
• パフォーマンスに影響が少ないため、大規模なサイトでも利用可能。

mod_rewriteは、単なるリダイレクトツール以上の役割を果たし、Webサーバーでのアクセス制御やセキュリティ対策において不可欠なモジュールです。

クロスドメインリクエストの仕組み

クロスドメインリクエストは、異なるドメイン間でのデータのやり取りを指します。通常、Webブラウザはセキュリティ上の理由から、異なるドメインへのリクエストを制限します。これを同一オリジンポリシー（Same-Origin Policy）と呼びます。

同一オリジンポリシーとは

同一オリジンポリシーは、JavaScriptなどのスクリプトが同じプロトコル、ホスト、ポートから提供されるリソースにのみアクセスできるというルールです。

例：

• https://example.com/app から https://api.example.com/data へのリクエストは異なるオリジンと見なされます。
• これにより、悪意のあるサイトがユーザーのデータに勝手にアクセスすることを防ぎます。

クロスドメインリクエストの必要性

しかし、API通信や外部サービスとの連携では、異なるオリジン間でデータのやり取りが必要になることがあります。
例えば：

• フロントエンドアプリケーションがバックエンドAPIにリクエストを送信する場合
• 異なるドメインの画像やスクリプトを読み込む場合

CORS（Cross-Origin Resource Sharing）

この問題を解決するために、CORSと呼ばれる仕組みがあります。
CORSは、サーバー側で適切なHTTPヘッダーを設定することで、特定のオリジンからのリクエストを許可します。

例：

Access-Control-Allow-Origin: https://example.com  

このヘッダーを設定することで、https://example.com からのクロスドメインリクエストが許可されます。

mod_rewriteによるクロスドメイン制御の重要性

mod_rewriteを使用すると、CORS設定の補助や、特定の条件を満たすリクエストのみを許可するなど、より柔軟なクロスドメイン制御が可能になります。
これにより、セキュリティを維持しつつ必要なクロスドメイン通信を実現できます。

mod_rewriteを使ったクロスドメイン制御の設定方法

mod_rewriteを使用してクロスドメインリクエストを制御することで、特定のオリジンからのアクセスのみを許可したり、不正なリクエストを遮断したりすることが可能です。ここでは、具体的な設定例を示しながら、クロスドメイン制御の方法を解説します。

.htaccessファイルでの設定

mod_rewriteの設定は、Apacheの設定ファイルまたは.htaccessファイルで行います。以下の例は、特定のドメインからのリクエストだけを許可する方法です。

例：特定のドメインを許可するリライトルール

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^https://trusted-domain\.com [NC]
RewriteRule ^.*$ - [F,L]

解説:

• RewriteEngine On – mod_rewriteを有効にします。
• RewriteCond %{HTTP_REFERER} – 参照元（リファラー）がtrusted-domain.comでない場合、次のルールを適用します。
• RewriteRule ^.*$ – [F,L] – 条件に一致するリクエストは403 Forbiddenとして拒否します。

複数のオリジンを許可する例

複数のドメインからのアクセスを許可したい場合は、以下のようにOR演算子を利用して条件を追加できます。

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^https://trusted-domain\.com [NC]
RewriteCond %{HTTP_REFERER} !^https://another-trusted\.com [NC]
RewriteRule ^.*$ - [F,L]

解説:

• 複数のRewriteCondを記述することで、trusted-domain.comとanother-trusted.comからのリクエストのみを許可します。
• それ以外のリクエストはすべて拒否されます。

クロスドメインAPIリクエストの制御

APIへのクロスドメインリクエストを制御する場合、特定のエンドポイントに対してのみルールを適用できます。

例：APIエンドポイントへの制限

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/api/ [NC]
RewriteCond %{HTTP_ORIGIN} !^https://trusted-client\.com [NC]
RewriteRule ^.*$ - [F,L]

解説:

• /api/ パスに対するリクエストで、オリジンがtrusted-client.comでない場合にアクセスを拒否します。

必要なレスポンスヘッダーの追加

リクエストを許可する場合は、CORSヘッダーも合わせて追加します。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "https://trusted-domain.com"
</IfModule>

これにより、クロスドメインリクエストが許可されます。

mod_rewriteはクロスドメインリクエストのフィルタリングやアクセス制御に非常に役立ちます。適切な設定を行うことで、セキュリティを維持しつつ、必要な通信だけを許可できるようになります。

条件付きリダイレクトの実装

mod_rewriteを活用することで、特定の条件を満たしたクロスドメインリクエストだけを許可し、それ以外のリクエストはリダイレクトまたは拒否することが可能です。これにより、不正アクセスを防ぎつつ必要なドメインからのリクエストのみを受け入れられます。

リダイレクトの基本構文

mod_rewriteでは、RewriteCondとRewriteRuleを組み合わせて条件付きリダイレクトを行います。
以下の例は、信頼されたドメインからのリクエストだけを特定のURLにリダイレクトする方法です。

例：特定ドメイン以外のリクエストをリダイレクト

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^https://trusted-domain\.com [NC]
RewriteRule ^(.*)$ https://error-page.example.com [R=302,L]

解説:

• RewriteCond %{HTTP_REFERER} – 参照元がtrusted-domain.comでない場合に次のルールが適用されます。
• RewriteRule ^(.*)$ https://error-page.example.com – すべてのリクエストをerror-page.example.comにリダイレクトします。
• [R=302,L] – 一時的なリダイレクト（302）を行い、処理を終了します。

特定のパスだけに適用する方法

特定のパス（例：APIエンドポイント）にだけ条件を適用したい場合は、REQUEST_URIを使って対象を絞ります。

例：APIエンドポイントへのリダイレクト

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/api/ [NC]
RewriteCond %{HTTP_ORIGIN} !^https://trusted-client\.com [NC]
RewriteRule ^.*$ https://error-page.example.com [R=403,L]

解説:

• /api/ へのリクエストに対し、参照元がtrusted-client.com以外であれば403エラーページへリダイレクトします。
• アクセス元のオリジンをチェックし、不正なリクエストを防止します。

部分的なアクセス許可

場合によっては、一部のリソースのみを異なるドメインに公開したいことがあります。

例：画像ディレクトリだけ許可する設定

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/images/ [NC]
RewriteCond %{HTTP_REFERER} !^https://trusted-site\.com [NC]
RewriteRule ^.*$ - [F,L]

解説:

• /images/ディレクトリ内のリソースへのアクセスはtrusted-site.comからのみ許可し、それ以外は403エラーで拒否します。

特定のドメインからのみリダイレクトを行う

次に、特定のドメインからアクセスがあった場合だけ、特定のページにリダイレクトする方法です。

例：特定のドメインからアクセス時にリダイレクト

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^https://promo\.example\.com [NC]
RewriteRule ^(.*)$ https://special-offer.example.com [R=301,L]

解説:

• promo.example.comからアクセスがあった場合に限り、special-offer.example.comへリダイレクトします。

条件付きリダイレクトの利点

• 不要なリクエストをフィルタリングできるため、セキュリティが向上します。
• 信頼されたドメインからのアクセスのみを許可し、不正リクエストを防止します。
• ユーザー体験を向上させるためのキャンペーンページやメンテナンス時のリダイレクトにも活用できます。

条件付きリダイレクトは、シンプルな設定ながら効果的にクロスドメインリクエストを管理する手段の一つです。

RewriteCondとRewriteRuleの使い方

Apacheのmod_rewriteでは、RewriteCondとRewriteRuleが連携して動作し、クロスドメインリクエストの制御やURLリダイレクトの条件を細かく設定できます。これらを適切に活用することで、柔軟で強力なアクセス制御が可能になります。

RewriteCondの役割と構文

RewriteCondは、リライトルール（RewriteRule）が適用されるための条件を設定します。条件が満たされた場合のみ、RewriteRuleが実行されます。

基本構文：

RewriteCond %{変数} 条件 [フラグ]

• %{変数} – 環境変数（例：HTTP_HOST, REQUEST_URI, HTTP_REFERER）を指定
• 条件 – 変数の値が満たすべき条件（正規表現が使用可能）
• [フラグ] – 条件の評価方法を指定（オプション）

例：特定のリファラーからのアクセスを許可

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^https://trusted-domain\.com [NC]
RewriteRule ^.*$ - [L]

この例では、trusted-domain.comからのアクセスのみ許可し、他のドメインからのリクエストは処理されません。

RewriteRuleの役割と構文

RewriteRuleは、リクエストされたURLをリライト（書き換え）またはリダイレクトします。RewriteCondの条件を満たす場合にのみ適用されます。

基本構文：

RewriteRule パターン 書き換え先 [フラグ]

• パターン – リクエストURLに適用される正規表現
• 書き換え先 – 新しいURLやエラーページなどの転送先
• [フラグ] – ルールの動作方法を制御（オプション）

例：特定パスへのアクセスをリダイレクト

RewriteRule ^old-page$ /new-page [R=301,L]

/old-pageへのアクセスを/new-pageにリダイレクトします。

RewriteCondとRewriteRuleの連携例

以下の例は、特定のドメインからのリクエストだけをAPIエンドポイントに許可し、それ以外は拒否する設定です。

RewriteEngine On
RewriteCond %{HTTP_ORIGIN} !^https://trusted-client\.com [NC]
RewriteCond %{REQUEST_URI} ^/api/ [NC]
RewriteRule ^.*$ - [F,L]

• RewriteCond %{HTTP_ORIGIN} – オリジンがtrusted-client.com以外の場合
• RewriteCond %{REQUEST_URI} – リクエストが/api/に対するものである場合
• RewriteRule – 該当するリクエストを403 Forbiddenで拒否します。

よく使うRewriteCondの変数

• %{HTTP_HOST} – リクエストされたホスト名
• %{REQUEST_URI} – リクエストされたURI（パス）
• %{HTTP_REFERER} – リクエスト元のリファラー
• %{HTTP_USER_AGENT} – クライアントのユーザーエージェント
• %{HTTP_ORIGIN} – クロスドメインリクエストのオリジン

フラグの活用方法

RewriteRuleには以下のようなフラグが使えます：

• [L] – 最後のルールとして処理を終了
• [R=301] – 永続的なリダイレクト（301）
• [R=302] – 一時的なリダイレクト（302）
• [F] – アクセス拒否（403 Forbidden）
• [NC] – 大文字小文字を区別しない（No Case）

例：大文字小文字を区別せずに特定のURLをリダイレクト

RewriteCond %{REQUEST_URI} ^/Old-Page [NC]
RewriteRule ^.*$ /new-page [R=301,L]

/Old-Pageや/old-pageへのアクセスを、/new-pageに301リダイレクトします。

実践例：クロスドメインアクセス制御

特定のパスに対して、信頼されたオリジンからのリクエストのみを許可し、それ以外は403エラーにする方法です。

RewriteEngine On
RewriteCond %{HTTP_ORIGIN} !^https://allowed-site\.com [NC]
RewriteCond %{REQUEST_URI} ^/secure-api/ [NC]
RewriteRule ^.*$ - [F,L]

• /secure-api/へのアクセスはallowed-site.comからのリクエストのみ許可されます。
• 他のオリジンからのアクセスは403エラーとなります。

RewriteCondとRewriteRuleを効果的に活用することで、柔軟で強力なクロスドメイン制御やリクエストの管理が可能になります。

セキュリティリスクとその対策

mod_rewriteは強力なURL制御ツールですが、誤った設定や不適切な使用によりセキュリティリスクが発生する可能性があります。特にクロスドメインリクエストの制御においては、慎重な設定が求められます。ここでは、mod_rewriteを使用する際に注意すべき代表的なセキュリティリスクと、それを防ぐための対策について解説します。

1. オープンリダイレクトのリスク

オープンリダイレクトとは、不正なユーザーが任意のリダイレクト先を設定できてしまう状態を指します。これにより、ユーザーがフィッシングサイトなどの悪意あるページへ誘導される危険があります。

リスク例：

RewriteRule ^redirect/(.*)$ http://%{HTTP_HOST}/$1 [R=302,L]

この設定では、リクエストURLに任意のリダイレクト先を付与できてしまい、攻撃者がredirect/evil-site.comのように悪意あるURLを指定可能です。

対策：
リダイレクト先を固定し、ユーザーが任意の値を設定できないようにします。

RewriteRule ^redirect/(.*)$ https://trusted-site.com/$1 [R=302,L]

2. 参照元偽装（Referer Spoofing）

mod_rewriteではHTTP_REFERERを使用してアクセスを制限することがありますが、このリファラー情報は簡単に偽装可能です。これにより、不正なドメインからのアクセスが許可される可能性があります。

リスク例：

RewriteCond %{HTTP_REFERER} ^https://trusted-site\.com [NC]
RewriteRule ^.*$ - [L]

攻撃者がリファラーをtrusted-site.comに偽装すれば、制限を突破できます。

対策：
リファラー制限だけに依存せず、HTTP_ORIGINやトークン認証を併用して多層防御を行います。

RewriteCond %{HTTP_ORIGIN} ^https://trusted-site\.com [NC]
RewriteRule ^.*$ - [L]

3. ディレクトリトラバーサル攻撃

ディレクトリトラバーサルは、不正に親ディレクトリへ遡ることでサーバー内のファイルやディレクトリへアクセスされる攻撃です。
mod_rewriteの設定ミスにより、意図しないディレクトリやファイルが露出する可能性があります。

リスク例：

RewriteRule ^(.*)$ /public/$1 [L]

この設定では、../../../etc/passwdのようなリクエストがあった場合にサーバーの機密ファイルが漏洩する可能性があります。

対策：
正規表現でディレクトリトラバーサルを防ぎます。

RewriteRule ^(\.\./|/)+ - [F,L]

また、アクセス可能なディレクトリを明示的に指定する方法も有効です。

RewriteRule ^/images/(.*)$ /public/images/$1 [L]

4. ループリダイレクトの防止

mod_rewriteの設定ミスで、無限ループのリダイレクトが発生することがあります。これによりサーバーが高負荷状態に陥り、サービスがダウンする可能性があります。

リスク例：

RewriteRule ^(.*)$ https://example.com/$1 [R=301,L]

この設定では、リダイレクト先が自身のURLである場合、無限ループが発生します。

対策：
ループを防止するため、条件を追加してループが発生しないようにします。

RewriteCond %{REQUEST_URI} !^/new-page$
RewriteRule ^old-page$ /new-page [R=301,L]

5. 不正アクセスの防止（403 Forbiddenの活用）

不正なアクセスが検出された場合は、明示的に403 Forbiddenエラーを返すことでアクセスをブロックします。

例：クロスドメインAPIへの不正アクセス防止

RewriteCond %{HTTP_ORIGIN} !^https://trusted-client\.com [NC]
RewriteRule ^/api/ - [F,L]

• 不正なオリジンからのAPIリクエストを拒否します。

6. mod_rewrite設定時のベストプラクティス

1. テスト環境で検証 – 本番環境に適用する前に、すべてのルールをテスト環境で動作確認する。
2. デバッグモードを活用 – Apacheのログを有効にし、RewriteLogやRewriteLogLevelで詳細な情報を確認する。
3. 最小権限の原則 – 不要なリダイレクトや条件は削除し、シンプルなルールセットを維持する。
4. 正規表現の確認 – 正規表現のミスがないか慎重にチェックする。

mod_rewriteは便利なツールですが、誤った設定は重大なセキュリティホールを生む可能性があります。適切な設定と多層防御を行うことで、安全なクロスドメインリクエスト制御を実現しましょう。

リバースプロキシを用いたクロスドメイン制御

mod_rewriteだけでは複雑なクロスドメイン制御が難しい場合があります。そこで、リバースプロキシを併用することで、柔軟で強力なアクセス制御が可能になります。リバースプロキシは、外部からのリクエストを受け取り、内部サーバーへ転送する役割を持ちます。これにより、外部からは内部サーバーの構成が隠蔽され、安全性が向上します。

リバースプロキシの仕組み

リバースプロキシはクライアントとバックエンドサーバーの間に配置されます。クライアントは直接バックエンドにアクセスせず、プロキシサーバーが代わりにリクエストを処理します。

仕組みの例：

クライアント → リバースプロキシ（Apache） → バックエンドAPIサーバー

これにより、内部のAPIエンドポイントが外部から直接アクセスされることを防ぎます。

リバースプロキシの設定方法

Apacheでは、mod_proxyとmod_proxy_httpを使用してリバースプロキシを構成します。以下は、特定のクロスドメインリクエストをバックエンドAPIサーバーに転送する例です。

Apacheの設定例（httpd.conf または .htaccess）:

<VirtualHost *:80>
    ServerName api.example.com

    ProxyPreserveHost On
    ProxyPass /api/ http://backend-server.local/api/
    ProxyPassReverse /api/ http://backend-server.local/api/
</VirtualHost>

解説：

• ProxyPass – /api/へのリクエストをバックエンドサーバー（http://backend-server.local/api/）へ転送します。
• ProxyPassReverse – レスポンスのLocationヘッダーをリバースプロキシのURLに書き換えます。
• ProxyPreserveHost – クライアントのHostヘッダーをそのままバックエンドに送信します。

特定のドメインからのリクエストだけを許可

以下のように、リバースプロキシとmod_rewriteを併用して特定のオリジンからのクロスドメインリクエストのみ許可します。

例：trusted-domain.comからのリクエストだけを許可

<VirtualHost *:80>
    ServerName api.example.com

    ProxyPreserveHost On
    RewriteEngine On
    RewriteCond %{HTTP_ORIGIN} !^https://trusted-domain\.com$ [NC]
    RewriteRule ^/api/ - [F,L]

    ProxyPass /api/ http://backend-server.local/api/
    ProxyPassReverse /api/ http://backend-server.local/api/
</VirtualHost>

解説：

• RewriteCondでtrusted-domain.com以外のオリジンからのリクエストは403エラーで拒否します。
• 許可されたリクエストのみバックエンドAPIに転送します。

CORSヘッダーの追加

リバースプロキシを通過したリクエストに対してCORSヘッダーを付与し、特定のオリジンからのアクセスを許可します。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "https://trusted-domain.com"
    Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
</IfModule>

これにより、クロスドメインアクセスが許可されます。

APIへのアクセス制限

特定のIPアドレスやユーザーエージェントからのアクセスを制限することも可能です。

例：特定IP以外のアクセスを制限

<VirtualHost *:80>
    ServerName api.example.com

    <Location /api/>
        Order Deny,Allow
        Deny from all
        Allow from 192.168.1.0/24
    </Location>

    ProxyPass /api/ http://backend-server.local/api/
    ProxyPassReverse /api/ http://backend-server.local/api/
</VirtualHost>

解説：

• Deny from allでデフォルトでアクセスを拒否し、Allow from 192.168.1.0/24で指定のIPアドレスのみ許可します。

リバースプロキシの利点

1. セキュリティの向上 – 内部サーバーの情報を外部に露出させないため、セキュリティリスクが低減します。
2. 負荷分散 – 複数のバックエンドサーバーへのリクエストを分散させることで、負荷を軽減します。
3. キャッシュの活用 – プロキシサーバーがレスポンスをキャッシュすることで、サーバー負荷をさらに軽減できます。
4. クロスドメイン制御の強化 – mod_rewriteと併用することで、柔軟なクロスドメイン制御が可能になります。

注意点とベストプラクティス

• 不要なリバースプロキシは避ける – 不要なプロキシ設定はレスポンス速度を低下させる可能性があります。
• セキュリティヘッダーを適切に設定 – X-Frame-OptionsやStrict-Transport-Securityなどのセキュリティヘッダーを併用する。
• ログの監視 – access.logやerror.logを定期的に監視し、不審なアクセスがないか確認します。

リバースプロキシとmod_rewriteを併用することで、クロスドメインアクセスの細かい制御が可能となり、安全かつ効率的なWebサイト運営が実現できます。

実践例：APIへのアクセス制御設定

mod_rewriteを使用して、APIエンドポイントへのクロスドメインアクセスを制御する具体的な設定例を紹介します。このセクションでは、特定のドメインからのリクエストのみを許可し、それ以外のリクエストは403エラーで拒否する方法を解説します。

要件

• 特定のAPIエンドポイント（例：/api/）へのリクエストを制限。
• 信頼されたドメイン（例：https://trusted-client.com）からのリクエストのみを許可。
• 不正なリクエストは403 Forbiddenで拒否。
• 必要に応じてCORS（Cross-Origin Resource Sharing）ヘッダーを付与。

設定例

以下の設定は、.htaccessまたはApacheの仮想ホスト設定ファイルで実装できます。

1. APIエンドポイントへのアクセス制御

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/api/ [NC]
RewriteCond %{HTTP_ORIGIN} !^https://trusted-client\.com$ [NC]
RewriteRule ^.*$ - [F,L]

解説：

• RewriteCond %{REQUEST_URI} ^/api/ – リクエストURIが/api/から始まる場合にルールを適用。
• RewriteCond %{HTTP_ORIGIN} – オリジンがtrusted-client.comでない場合にアクセスを拒否。
• RewriteRule ^.*$ - [F,L] – 該当するリクエストを403 Forbiddenで拒否します。

2. CORSヘッダーの追加
アクセスが許可された場合に、CORSヘッダーを付与します。

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "https://trusted-client.com"
    Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
    Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>

解説：

• Access-Control-Allow-Origin – trusted-client.comからのリクエストのみ許可。
• Access-Control-Allow-Methods – GET、POST、OPTIONSのメソッドを許可。
• Access-Control-Allow-Headers – クライアントが送信するContent-TypeやAuthorizationヘッダーを許可。

3. OPTIONSメソッドへの対応
APIへのクロスドメインアクセス時、ブラウザはプリフライトリクエスト（OPTIONSメソッド）を送信します。このリクエストを適切に処理しないと、APIが動作しません。

RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ - [R=200,L]

解説：

• OPTIONSリクエストは200 OKを返し、正常に処理します。
• これにより、ブラウザがAPIエンドポイントへのアクセスを許可します。

アクセス制御の実践例

シナリオ:

• /api/usersエンドポイントへのアクセスはtrusted-client.comからのみ許可。
• 不正なオリジンからのアクセスは拒否し、エラーページを表示。

設定例：

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/api/users [NC]
RewriteCond %{HTTP_ORIGIN} !^https://trusted-client\.com$ [NC]
RewriteRule ^.*$ /403.html [R=403,L]

403.html（エラーページの内容例）：

<!DOCTYPE html>
<html lang="ja">
<head>
    <meta charset="UTF-8">
    <title>アクセス拒否</title>
</head>
<body>
    <h1>403 Forbidden</h1>
    <p>このページへのアクセスは許可されていません。</p>
</body>
</html>

IPアドレスによるAPI制限

特定のIPアドレスからのみAPIへのアクセスを許可する場合は、以下のように設定します。

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/api/ [NC]
RewriteCond %{REMOTE_ADDR} !^192\.168\.1\.[0-9]+$ [NC]
RewriteRule ^.*$ - [F,L]

解説：

• 192.168.1.*のIPアドレスからのアクセスのみ許可します。
• 他のIPアドレスからのアクセスは403エラーで拒否されます。

ベストプラクティス

1. 最小限の許可 – 必要なドメイン/IPアドレスのみ許可し、それ以外はすべて拒否する設定を基本とします。
2. 多層防御 – mod_rewriteだけでなく、ファイアウォールやWAF（Web Application Firewall）も併用してセキュリティを強化します。
3. ログ監視 – アクセスログやエラーログを定期的に確認し、不正アクセスがないか監視します。
4. プリフライトリクエスト対応 – APIへのクロスドメインアクセスを確実に動作させるため、OPTIONSメソッドの処理を忘れずに実装します。

mod_rewriteを活用したAPIアクセス制御は、セキュリティを強化し、不正なクロスドメインリクエストを防ぐ効果的な方法です。

まとめ

本記事では、Apacheのmod_rewriteを使用してクロスドメインリクエストを制御する方法について解説しました。

mod_rewriteの基本的な役割から始まり、RewriteCondとRewriteRuleの活用方法、リバースプロキシとの連携、さらにはAPIエンドポイントへの具体的なアクセス制御設定まで、段階的に詳しく説明しました。

適切なmod_rewriteの設定は、クロスドメインアクセスを安全に管理し、不正アクセスを防止する重要な手段です。特に、信頼されたドメインからのリクエストだけを許可する設定や、リバースプロキシを活用した柔軟な制御は、APIやWebアプリケーションのセキュリティを強化する上で不可欠です。

今後の運用では、セキュリティヘッダーの追加やログの監視なども併せて行い、継続的なセキュリティ対策を実施することを推奨します。mod_rewriteを適切に使いこなすことで、安全で信頼性の高いWebサービスを構築できるでしょう。