CORS(クロスオリジンリソース共有)は、異なるオリジン(ドメインやポートが異なるリソース)間でのデータのやり取りを許可または制限する仕組みです。
Webアプリケーションが外部APIや他のドメインのリソースにアクセスする場合、セキュリティ上の理由でCORSの設定が必要になります。
特にApacheサーバーでは、仮想ホストごとに異なるCORS設定を行うことで、複数のドメインを一つのサーバーで効率的に管理できます。
この記事では、Apacheで特定の仮想ホストに対してのみCORSを適用する方法を、基本的な設定から応用例、トラブルシューティングまで詳しく解説します。
これにより、不要なドメインへのアクセスを制限し、セキュアで柔軟なWebサービスを実現できます。
CORSとは何か?基本概念と仕組み
CORS(Cross-Origin Resource Sharing)は、ブラウザが異なるオリジン(スキーム、ホスト、ポートの組み合わせ)からリソースを要求する際に適用されるセキュリティ機能です。
通常、ブラウザは同一オリジンポリシー(SOP)によって、異なるオリジンへのリクエストをブロックします。しかし、APIや外部サービスを利用する現代のWebアプリケーションでは、異なるオリジン間での通信が不可欠です。
CORSは、サーバーが特定のオリジンからのリクエストを許可することで、SOPを補完します。サーバーはレスポンスヘッダーでAccess-Control-Allow-Originを指定し、許可するオリジンを明示します。
これにより、セキュリティを保ちつつ必要な外部リソースとの通信が可能になります。
CORSの基本的な動作フロー
- プリフライトリクエスト:
特定の条件を満たすリクエストでは、ブラウザが実際のリクエストを送る前にOPTIONSメソッドで許可を確認します。 - 本リクエスト:
プリフライトリクエストで許可された場合、実際のリクエストが送信されます。サーバーはAccess-Control-Allow-OriginなどのCORS関連ヘッダーを含めてレスポンスを返します。 - レスポンスの検証:
ブラウザはレスポンスヘッダーを検証し、条件が満たされていればリソースが利用可能になります。
なぜ仮想ホストごとにCORSを設定するのか
仮想ホスト(Virtual Host)は、一台のサーバーで複数のドメインを運用するための機能です。
異なるドメインごとにCORS設定を分けることで、不要なオリジンからのリクエストを制限し、セキュリティを強化できます。
これにより、特定のドメインだけがAPIにアクセスできるようになります。
Apacheの仮想ホストの基本設定方法
Apacheで仮想ホストを設定することで、一台のサーバーで複数のWebサイトやアプリケーションを運用できます。
仮想ホストは、ドメイン名やIPアドレスに基づいてリクエストを振り分ける仕組みです。
ここでは、Apacheにおける基本的な仮想ホストの設定方法を解説します。
仮想ホストの設定ファイルの場所
仮想ホストの設定は、Apacheの設定ディレクトリ(通常は/etc/apache2/sites-available/)にある各設定ファイルで管理されます。
デフォルトでは、000-default.confが存在しますが、新しい仮想ホストを作成する際は独自のファイルを作成します。
仮想ホストの基本構成例
以下は、基本的な仮想ホストの設定例です。
<VirtualHost *:80>
ServerAdmin webmaster@example.com
DocumentRoot /var/www/example
ServerName example.com
ServerAlias www.example.com
<Directory /var/www/example>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
</Directory>
ErrorLog ${APACHE_LOG_DIR}/example_error.log
CustomLog ${APACHE_LOG_DIR}/example_access.log combined
</VirtualHost>設定のポイント
- ServerName:仮想ホストに対応するドメイン名を指定します。
- DocumentRoot:対象のWebサイトのファイルが格納されているディレクトリを指定します。
- ErrorLog/CustomLog:ログの出力先を指定し、デバッグやアクセス状況を把握します。
仮想ホストの有効化
設定ファイルを作成したら、以下のコマンドで仮想ホストを有効化します。
sudo a2ensite example.conf
sudo systemctl reload apache2これにより、新しい仮想ホストが反映され、特定のドメインでサイトが運用可能になります。
仮想ホストにおけるCORS設定の基本例
特定の仮想ホストにのみCORS(Cross-Origin Resource Sharing)を適用することで、セキュリティを維持しつつ必要なドメインからのリクエストを許可できます。
ここでは、Apacheの仮想ホスト設定ファイルでCORSを有効にする基本的な方法を解説します。
基本的なCORS設定の例
以下は、example.comの仮想ホストに対して特定のオリジンからのリクエストを許可するCORS設定例です。
<VirtualHost *:80>
ServerAdmin webmaster@example.com
DocumentRoot /var/www/example
ServerName example.com
<Directory /var/www/example>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
# CORS設定
Header set Access-Control-Allow-Origin "https://trusted-origin.com"
Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</Directory>
ErrorLog ${APACHE_LOG_DIR}/example_error.log
CustomLog ${APACHE_LOG_DIR}/example_access.log combined
</VirtualHost>設定の説明
- Access-Control-Allow-Origin:許可するオリジンを指定します。
*を指定すると全てのオリジンからのアクセスが許可されますが、セキュリティリスクが高まるため、信頼できるオリジンを個別に指定するのが推奨されます。 - Access-Control-Allow-Methods:許可するHTTPメソッド(例:
GET,POSTなど)を指定します。 - Access-Control-Allow-Headers:クライアントが送信するリクエストヘッダーのうち、許可するものを指定します。
AuthorizationやContent-Typeなどが典型的です。
プリフライトリクエストへの対応
ブラウザが送信するOPTIONSメソッドのプリフライトリクエストにも対応するには、以下の設定を追加します。
<IfModule mod_headers.c>
Header always set Access-Control-Allow-Origin "https://trusted-origin.com"
Header always set Access-Control-Allow-Methods "GET, POST, OPTIONS"
Header always set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>設定の有効化
Apacheのモジュールmod_headersが有効になっている必要があります。有効でない場合は、以下のコマンドで有効化します。
sudo a2enmod headers
sudo systemctl reload apache2これにより、仮想ホスト単位でCORS設定が適用され、セキュリティを維持しつつ必要なオリジンからのアクセスが可能になります。
条件付きでCORSを適用する方法
特定の条件(ホスト名やリクエストパス)に基づいてCORS設定を分けることで、細かく制御されたアクセス制限を実現できます。
ここでは、Apacheのmod_rewriteやSetEnvIfディレクティブを活用して、条件付きでCORSを適用する方法を解説します。
ホスト名に応じたCORSの適用
特定のドメインからのリクエストのみにCORSを許可するには、SetEnvIfを利用します。
<VirtualHost *:80>
ServerAdmin webmaster@example.com
DocumentRoot /var/www/example
ServerName example.com
<Directory /var/www/example>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
# オリジンに応じたCORS適用
SetEnvIf Origin "https://trusted-origin.com" CORS_ALLOW=1
Header set Access-Control-Allow-Origin "https://trusted-origin.com" env=CORS_ALLOW
Header set Access-Control-Allow-Methods "GET, POST, OPTIONS" env=CORS_ALLOW
Header set Access-Control-Allow-Headers "Content-Type, Authorization" env=CORS_ALLOW
</Directory>
ErrorLog ${APACHE_LOG_DIR}/example_error.log
CustomLog ${APACHE_LOG_DIR}/example_access.log combined
</VirtualHost>設定のポイント
- SetEnvIfでリクエストの
Originヘッダーが指定したドメインと一致した場合にCORS_ALLOWという環境変数を設定します。 - 環境変数
CORS_ALLOWがセットされた場合にのみAccess-Control-Allow-Originヘッダーが適用されます。
特定のパスに対するCORS設定
APIエンドポイントなど特定のパスにのみCORSを適用したい場合は、Locationディレクティブを利用します。
<VirtualHost *:80>
ServerAdmin webmaster@example.com
DocumentRoot /var/www/example
ServerName example.com
<Location /api/>
Header set Access-Control-Allow-Origin "https://trusted-origin.com"
Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
Header set Access-Control-Allow-Headers "Content-Type, Authorization"
</Location>
ErrorLog ${APACHE_LOG_DIR}/example_error.log
CustomLog ${APACHE_LOG_DIR}/example_access.log combined
</VirtualHost>設定のポイント
/api/パスにリクエストが送られた場合のみCORSヘッダーを付与します。- 他のパスではCORSが適用されないため、不要なリソースへのアクセスを制限できます。
プリフライトリクエストの処理
条件付きCORS設定でもプリフライトリクエストが必要です。以下のように対応します。
<IfModule mod_headers.c>
<LocationMatch "/api/.*">
Header always set Access-Control-Allow-Origin "https://trusted-origin.com"
Header always set Access-Control-Allow-Methods "GET, POST, OPTIONS"
Header always set Access-Control-Allow-Headers "Content-Type, Authorization"
</LocationMatch>
</IfModule>設定の有効化と確認
設定変更後、Apacheをリロードして反映させます。
sudo systemctl reload apache2ブラウザの開発者ツールでリクエストヘッダーを確認し、Access-Control-Allow-Originが正しく適用されているかを確認してください。
セキュリティを考慮したCORS設定のポイント
CORSを適用する際は、過剰な許可設定がセキュリティリスクにつながる可能性があります。
特にAccess-Control-Allow-Originをワイルドカード(*)で設定する場合、悪意のあるサイトからのアクセスが許可されてしまうことがあります。
ここでは、セキュアなCORS設定を行うための具体的なポイントを解説します。
1. ワイルドカードの使用を避ける
Access-Control-Allow-Originに*を指定すると、全てのオリジンからのアクセスが許可されます。
これは便利ですが、セキュリティ的には非常に危険です。
代わりに、信頼できるオリジンを明示的に指定しましょう。
例:安全なオリジンを指定する場合
Header set Access-Control-Allow-Origin "https://trusted-origin.com"危険な例(推奨しない)
Header set Access-Control-Allow-Origin "*"2. 認証情報を含むリクエストの制限
認証情報(クッキーやHTTP認証)を含むリクエストを許可する場合、Access-Control-Allow-Credentialsをtrueに設定する必要があります。
しかし、この場合もオリジンはワイルドカードではなく、特定のドメインを指定する必要があります。
例:認証情報を許可する安全な設定
Header set Access-Control-Allow-Origin "https://trusted-origin.com"
Header set Access-Control-Allow-Credentials "true"3. 許可するメソッドの制限
不要なHTTPメソッド(PUT, DELETEなど)を許可すると、データの改ざんや削除につながる可能性があります。
最低限必要なメソッドのみを許可するようにしましょう。
例:GETとPOSTのみ許可
Header set Access-Control-Allow-Methods "GET, POST"4. 許可するヘッダーの制限
Access-Control-Allow-Headersで許可するヘッダーも必要最低限にすることが重要です。
特にAuthorizationやX-Custom-Headerなどのカスタムヘッダーは、必要な場合のみ許可しましょう。
例:必要最低限のヘッダーを許可
Header set Access-Control-Allow-Headers "Content-Type, Authorization"5. プリフライトリクエストの時間制限
プリフライトリクエスト(OPTIONSメソッド)で許可された内容をキャッシュすることで、毎回のリクエストが不要になります。
ただし、キャッシュ時間が長すぎると、設定変更時に反映が遅れる可能性があるため、適切な時間を設定しましょう。
例:キャッシュ時間を10分に設定
Header set Access-Control-Max-Age "600"6. セキュリティヘッダーの併用
CORSだけでなく、以下のセキュリティヘッダーを併用してリスクをさらに軽減します。
例:追加のセキュリティヘッダー
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "DENY"
Header always set Content-Security-Policy "default-src 'self'"まとめ
CORSは柔軟性のある仕組みですが、過剰に許可を与えるとセキュリティリスクが増大します。
最小限のオリジン、メソッド、ヘッダーの許可を徹底し、安全なWeb環境を維持しましょう。
トラブルシューティングとデバッグ方法
CORS設定に問題がある場合、ブラウザでエラーが表示され、外部リソースへのアクセスがブロックされることがあります。
ここでは、ApacheでCORSエラーが発生した際のトラブルシューティング方法と、デバッグの手順を詳しく解説します。
1. ブラウザの開発者ツールでエラーを確認
まず、ブラウザの開発者ツール(Chromeの「F12」や「Ctrl + Shift + I」)を開き、「Console」タブを確認します。
CORSエラーがある場合、以下のようなエラーメッセージが表示されます。
例:CORSエラーのメッセージ
Access to XMLHttpRequest at 'https://api.example.com' from origin 'https://your-site.com'
has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.2. Apacheのログを確認
Apacheのエラーログやアクセスログを確認して、設定が正しく反映されているかを確認します。
sudo tail -f /var/log/apache2/error.log
sudo tail -f /var/log/apache2/access.logログにCORS関連のエラーが記録されていないか確認しましょう。
3. mod_headersが有効か確認
CORS設定を行うには、mod_headersが有効である必要があります。
以下のコマンドでmod_headersが有効か確認します。
sudo apache2ctl -M | grep headers出力例:
headers_module (shared)有効でない場合は、以下のコマンドで有効化します。
sudo a2enmod headers
sudo systemctl reload apache24. 設定ファイルの記述ミスを確認
仮想ホスト設定や.htaccessファイルに記述ミスがないか確認します。
特に以下の項目をチェックします。
Access-Control-Allow-Originが正しく設定されているか*を使用している場合、Access-Control-Allow-Credentialsがtrueになっていないか(ワイルドカードと認証は併用不可)Optionsメソッド(プリフライトリクエスト)が許可されているか
5. プリフライトリクエストを確認
プリフライトリクエストが正しく処理されていない場合、CORSエラーが発生します。
以下の設定を確認し、OPTIONSメソッドを許可します。
<IfModule mod_headers.c>
Header always set Access-Control-Allow-Origin "https://trusted-origin.com"
Header always set Access-Control-Allow-Methods "GET, POST, OPTIONS"
Header always set Access-Control-Allow-Headers "Content-Type, Authorization"
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
</IfModule>6. 設定の反映とキャッシュクリア
設定を変更したら、Apacheをリロードして反映させます。
sudo systemctl reload apache2また、ブラウザのキャッシュをクリアして、最新の設定が反映されるようにします。
7. curlコマンドでリクエストを確認
ブラウザを使わずに、curlコマンドでCORSヘッダーが正しく付与されているかを確認します。
curl -I -X OPTIONS https://api.example.com出力例:
HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://trusted-origin.com
Access-Control-Allow-Methods: GET, POST, OPTIONSこれでCORS設定が正しく反映されていることを確認できます。
まとめ
CORSエラーのトラブルシューティングでは、ブラウザのエラー、Apacheのログ、設定ファイルの記述ミスを重点的に確認します。
適切にデバッグし、必要なオリジンにのみCORSを適用することで、セキュリティを保ちながら外部リソースへのアクセスを管理できます。
まとめ
本記事では、Apacheで特定の仮想ホストにのみCORS設定を適用する方法について解説しました。
CORSの基本概念から始まり、仮想ホストの設定方法、条件付きでのCORS適用、セキュリティを考慮した設定、そしてトラブルシューティングの手順を詳しく紹介しました。
特定のオリジンやパスに対してのみCORSを適用することで、不要なアクセスを防ぎ、セキュリティを強化できます。
Apacheのmod_headersやmod_rewriteを活用し、柔軟かつ安全なWebサービスを構築しましょう。
正しいCORS設定は、Webアプリケーションのパフォーマンスと安全性を維持するための重要な要素です。
コメント