PHPでのCORS制御方法：クロスオリジンリクエストを安全に設定する方法

CORS（クロスオリジンリクエスト）は、異なるオリジン間でリソースを共有する際に発生するセキュリティ制約を緩和する仕組みです。通常、ブラウザは異なるドメインからのリクエストをブロックしますが、特定の条件を満たす場合にのみリクエストを許可することで、安全なリソース共有を実現します。

PHPでは、バックエンドでCORSの設定を適切に行うことで、クライアントとサーバー間の通信を制御し、安全なWebアプリケーションを構築できます。本記事では、CORSの基本的な概念から、具体的なPHPでの設定方法、よくあるエラーの解決方法、安全に運用するためのベストプラクティスまでを解説します。

CORSとは何か

CORS（Cross-Origin Resource Sharing、クロスオリジンリソース共有）は、ブラウザが異なるオリジン（ドメイン、プロトコル、またはポートが異なるサーバー）からリソースをリクエストする際に適用されるセキュリティ機構です。通常、ブラウザはセキュリティの観点から、スクリプトによる異なるオリジンへのリクエストを制限します。

CORSが必要な理由

クロスオリジンリクエストは、たとえば、あるWebサイトから外部のAPIにデータをリクエストする場合などに発生します。CORSがないと、これらのリクエストはブラウザによってブロックされ、必要なリソースにアクセスできません。CORSを設定することで、セキュリティを維持しつつ、特定のオリジンからのリクエストを許可することが可能になります。

オリジンとは

オリジンとは、スキーム（プロトコル）、ホスト（ドメイン）、およびポートの組み合わせを指します。例えば、https://example.comとhttp://example.comは異なるオリジンとして扱われます。同様に、https://example.com:3000も異なるオリジンです。CORSを正しく設定することで、異なるオリジン間でのリソース共有が実現します。

PHPでのCORSヘッダーの設定方法

PHPを使用してCORSヘッダーを設定することで、サーバー側からクライアントに対してリクエストを許可するかどうかを制御できます。特定のオリジンからのアクセスを許可するために、サーバーは適切なCORSヘッダーをレスポンスに含める必要があります。

基本的なCORSヘッダーの設定手順

PHPでCORSを設定する際には、以下のようにheader()関数を使って必要なヘッダーを送信します。例えば、特定のオリジン（例：https://example.com）からのリクエストを許可するには、次のコードを使用します。

header("Access-Control-Allow-Origin: https://example.com");

このヘッダーにより、ブラウザはhttps://example.comからのリクエストを受け入れることができるようになります。すべてのオリジンを許可する場合には、次のようにワイルドカード（*）を使用します。

header("Access-Control-Allow-Origin: *");

複数のヘッダーを設定する場合

CORSの設定には、他にもいくつかのヘッダーが必要です。例えば、メソッドを制限するには次のように設定します。

header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type");

これにより、指定されたメソッドとヘッダーを持つリクエストのみを許可します。

Allow-Originヘッダーの使用例と注意点

Access-Control-Allow-Originヘッダーは、特定のオリジンからのリクエストを許可するために使用されます。このヘッダーの設定は、セキュリティに大きく影響するため、適切に制御することが重要です。

Allow-Originヘッダーの使用例

リクエストを特定のオリジンからのみ許可する場合、次のように設定します。

header("Access-Control-Allow-Origin: https://trusted-website.com");

これにより、https://trusted-website.comからのリクエストのみを許可し、他のオリジンからのリクエストはブロックされます。開発中にすべてのオリジンを許可するには、次のように設定しますが、これは本番環境では推奨されません。

header("Access-Control-Allow-Origin: *");

ワイルドカード（*）は、どのオリジンからのリクエストも許可するため便利ですが、セキュリティリスクを高めます。

セキュリティ上の注意点

Access-Control-Allow-Originヘッダーを正しく設定しないと、以下のようなリスクがあります。

ワイルドカード使用時のリスク

ワイルドカードを使用すると、すべてのオリジンからのリクエストが許可され、悪意のあるサイトからのリクエストも通過する可能性があります。特に、認証情報（クッキーやトークン）を伴うリクエストの場合、重大なセキュリティ問題を引き起こす可能性があります。

特定のオリジンの動的設定

より安全に運用するためには、リクエストのOriginヘッダーを確認し、信頼できるオリジンのみを動的に設定する方法があります。

$allowed_origins = ["https://trusted-website.com", "https://another-trusted-site.com"];

if (in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
}

この方法により、指定されたオリジンのみが許可され、より厳密なアクセス制御が可能です。

プリフライトリクエストとその処理方法

CORSでは、特定の条件を満たすリクエスト（例えば、カスタムヘッダーの使用や特定のHTTPメソッドの利用）が行われる前に、ブラウザがプリフライトリクエストを送信します。これはOPTIONSメソッドによるリクエストで、サーバーがそのリクエストを許可するかどうかを確認する目的で行われます。

プリフライトリクエストの役割

プリフライトリクエストは、リソースにアクセスする前に、そのリクエストが安全かどうかを確認するためのチェックとして機能します。このリクエストには、実際にアクセスを行う前に次の情報が含まれます。

• 使用するHTTPメソッド（GET、POST、PUT、DELETEなど）
• カスタムヘッダーの一覧
• クライアントが設定したその他のリクエスト情報

サーバーが適切なレスポンスを返さない場合、ブラウザはメインリクエストをブロックします。

プリフライトリクエストの処理方法

PHPでプリフライトリクエストを処理する際には、OPTIONSメソッドに対する特別な対応が必要です。以下のコードは、プリフライトリクエストを適切に処理する例です。

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("Access-Control-Allow-Origin: https://trusted-website.com");
    header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    header("Access-Control-Max-Age: 86400"); // キャッシュ期間を指定
    exit(0); // プリフライトリクエストの応答後に終了
}

このコードは以下を実現します：

1. プリフライトリクエスト（OPTIONSメソッド）を検出し、対応するCORSヘッダーを設定する。
2. 許可されたHTTPメソッドやカスタムヘッダーを明示する。
3. Access-Control-Max-Ageヘッダーを使って、プリフライトリクエストの結果をキャッシュする期間を指定する（単位は秒）。

プリフライトリクエストの注意点

プリフライトリクエストの処理を忘れると、CORSエラーが発生し、クライアント側からのリクエストがブロックされます。また、OPTIONSメソッドを正しく処理しないと、セキュリティリスクが高まる可能性があるため、慎重に設定を行う必要があります。

他のCORSヘッダーの設定方法

CORSの制御では、Access-Control-Allow-Origin以外にもいくつかの重要なヘッダーを設定する必要があります。これらのヘッダーを正しく設定することで、クロスオリジンリクエストの詳細な挙動を制御し、安全性を高めることができます。

Access-Control-Allow-Methodsの設定

Access-Control-Allow-Methodsヘッダーは、サーバーが許可するHTTPメソッドを指定します。例えば、クライアントがPUTやDELETEなどのメソッドを使用する場合、このヘッダーで許可しておく必要があります。

header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");

この設定により、GET、POST、PUT、DELETE、およびOPTIONSメソッドが許可されます。サーバー側で必要なメソッドのみを明示することで、セキュリティを高めることができます。

Access-Control-Allow-Headersの設定

クライアントが送信するリクエストヘッダーを制御するために、Access-Control-Allow-Headersヘッダーを使用します。これは、カスタムヘッダー（例：AuthorizationやX-Requested-Withなど）を使用する場合に必須です。

header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With");

この設定により、クライアントはContent-Type、Authorization、およびX-Requested-Withヘッダーを含むリクエストを送信できます。

Access-Control-Allow-Credentialsの設定

Access-Control-Allow-Credentialsヘッダーは、クロスオリジンリクエストでクッキーや認証情報を含めるかどうかを制御します。このヘッダーをtrueに設定すると、ブラウザはクッキーやHTTP認証ヘッダーをリクエストに含めることができます。

header("Access-Control-Allow-Credentials: true");

この設定を有効にする場合、Access-Control-Allow-Originにワイルドカード（*）は使用できず、特定のオリジンを指定する必要があります。

Access-Control-Expose-Headersの設定

Access-Control-Expose-Headersヘッダーを使用すると、ブラウザに表示可能なレスポンスヘッダーを制御できます。デフォルトでは、CORSリクエストにおいてクライアントに表示されるレスポンスヘッダーは限られていますが、このヘッダーを使って特定のヘッダーを追加できます。

header("Access-Control-Expose-Headers: X-Custom-Header, Content-Length");

これにより、X-Custom-HeaderやContent-Lengthといったカスタムヘッダーがクライアント側でアクセス可能になります。

Access-Control-Max-Ageの設定

Access-Control-Max-Ageヘッダーは、プリフライトリクエストの結果をブラウザがキャッシュする期間を指定します。単位は秒です。

header("Access-Control-Max-Age: 3600");

この例では、プリフライトリクエストの結果を1時間（3600秒）キャッシュするように設定しています。キャッシュを利用することで、頻繁なプリフライトリクエストの発生を抑えることができます。

CORSエラーの原因と解決策

CORSエラーは、ブラウザがサーバーからのレスポンスを受け取る際に、CORSポリシーの違反を検出した場合に発生します。これにより、クロスオリジンリクエストがブロックされ、クライアント側でエラーが表示されます。ここでは、CORSエラーの一般的な原因とその解決策について説明します。

原因1: Access-Control-Allow-Originが設定されていない

CORSエラーの最も一般的な原因は、サーバーがAccess-Control-Allow-Originヘッダーを設定していないことです。このヘッダーが欠如していると、ブラウザはリクエストを拒否します。

解決策

サーバー側でAccess-Control-Allow-Originヘッダーを設定し、許可するオリジンを指定します。例えば、特定のオリジンを許可する場合は次のようにします。

header("Access-Control-Allow-Origin: https://trusted-website.com");

原因2: プリフライトリクエストが正しく処理されていない

プリフライトリクエスト（OPTIONSメソッド）が適切に処理されない場合、CORSエラーが発生します。これは、Access-Control-Allow-MethodsやAccess-Control-Allow-Headersヘッダーが不足している場合に起こります。

解決策

プリフライトリクエストに対応するために、以下のようなコードを追加します。

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("Access-Control-Allow-Origin: https://trusted-website.com");
    header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    exit(0);
}

このコードにより、OPTIONSメソッドに対するリクエストを適切に処理できます。

原因3: クレデンシャルを伴うリクエストの設定不備

Access-Control-Allow-Credentialsヘッダーをtrueに設定していない場合、クレデンシャル（クッキーやHTTP認証情報）を伴うリクエストがブロックされます。また、Access-Control-Allow-Originがワイルドカード（*）に設定されている場合もエラーになります。

解決策

クレデンシャルを許可するには、Access-Control-Allow-Credentialsをtrueに設定し、特定のオリジンを指定します。

header("Access-Control-Allow-Origin: https://trusted-website.com");
header("Access-Control-Allow-Credentials: true");

原因4: Access-Control-Allow-Headersに必要なヘッダーが含まれていない

リクエストに含まれるカスタムヘッダーがAccess-Control-Allow-Headersで許可されていない場合、CORSエラーが発生します。

解決策

リクエストで使用するカスタムヘッダーをAccess-Control-Allow-Headersに追加します。

header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Custom-Header");

原因5: サーバーサイドの設定ミスや不一致

サーバー側で設定されているオリジンやメソッドがクライアントのリクエストと一致していない場合も、CORSエラーが発生することがあります。

解決策

サーバーの設定がクライアントのリクエストに対応するように見直し、オリジンやメソッド、ヘッダーの指定を正確に行います。また、動的にオリジンを検証して許可するロジックを実装するのも有効です。

これらの解決策を実践することで、CORSエラーを効率的に解消し、安全で柔軟なクロスオリジンリクエストの制御が可能になります。

CORSを有効にする条件付きの設定方法

CORSの設定を条件付きで有効にすることで、より柔軟かつ安全にクロスオリジンリクエストを制御することができます。特定の条件を満たす場合のみCORSを許可することで、不正なアクセスを防ぐと同時に必要なリクエストのみを許可することが可能です。

特定のオリジンのみを許可する設定

特定のオリジンからのリクエストのみを許可する場合、サーバー側で許可リスト（ホワイトリスト）を使用することが一般的です。以下は、信頼できるオリジンのみを許可する例です。

$allowed_origins = ["https://trusted-website.com", "https://another-trusted-site.com"];

if (in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    header("Access-Control-Allow-Credentials: true");
}

このコードは、リクエスト元のオリジンが許可リストに含まれている場合のみ、CORSを有効にする仕組みです。

リクエストメソッドに応じたCORS設定

異なるリクエストメソッドに対して異なるCORS設定を行うことも可能です。たとえば、GETメソッドはすべてのオリジンから許可し、POSTメソッドは特定のオリジンのみ許可する設定にすることができます。

if ($_SERVER['REQUEST_METHOD'] === 'GET') {
    header("Access-Control-Allow-Origin: *");
} elseif ($_SERVER['REQUEST_METHOD'] === 'POST' && in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
    header("Access-Control-Allow-Credentials: true");
}

これにより、GETリクエストはどのオリジンからでも許可し、POSTリクエストは信頼できるオリジンのみを許可する設定が実現します。

リクエストヘッダーに基づくCORS設定

リクエストに特定のカスタムヘッダーが含まれている場合にのみCORSを許可する方法もあります。この場合、特定のヘッダーを検出して、それに応じたCORS設定を行います。

if (isset($_SERVER['HTTP_X_CUSTOM_HEADER']) && $_SERVER['HTTP_X_CUSTOM_HEADER'] === 'MyCustomValue') {
    header("Access-Control-Allow-Origin: https://trusted-website.com");
    header("Access-Control-Allow-Methods: GET, POST");
    header("Access-Control-Allow-Headers: X-Custom-Header, Content-Type");
}

この例では、リクエストヘッダーにX-Custom-Headerが含まれていて、かつその値がMyCustomValueの場合のみ、CORSを有効にします。

環境による動的CORS設定

開発環境と本番環境でCORSの設定を変えることも有効です。たとえば、開発環境ではワイルドカードで全オリジンを許可し、本番環境では特定のオリジンのみを許可するように設定できます。

$environment = getenv('APP_ENV'); // 'development' または 'production' など

if ($environment === 'development') {
    header("Access-Control-Allow-Origin: *");
} elseif ($environment === 'production' && in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
}

このようにすることで、環境に応じた適切なCORS制御を行うことが可能です。

条件付きのCORS設定を行うことで、アプリケーションのセキュリティを向上させつつ、柔軟なリクエスト制御を実現できます。

CORSとセキュリティのベストプラクティス

CORSの設定は柔軟である一方、誤った設定によってセキュリティリスクが生じる可能性があります。ここでは、CORSを安全に設定するためのベストプラクティスを紹介し、クロスオリジンリクエストによる脅威を最小限に抑える方法を解説します。

1. 特定のオリジンのみを許可する

最も基本的なベストプラクティスは、Access-Control-Allow-Originヘッダーで特定の信頼されたオリジンのみを許可することです。ワイルドカード（*）を使用してすべてのオリジンを許可すると、悪意のあるサイトからのアクセスも可能になってしまうため、特定のオリジンを明示的に設定します。

header("Access-Control-Allow-Origin: https://trusted-website.com");

このようにして、信頼できるオリジンからのみアクセスを許可します。

2. クレデンシャルを伴うリクエストの取り扱い

クレデンシャル（クッキーやHTTP認証情報）を含むリクエストを許可する場合は、Access-Control-Allow-Credentialsヘッダーをtrueに設定する必要があります。ただし、この場合はAccess-Control-Allow-Originにワイルドカード（*）を使用してはいけません。特定のオリジンを指定することで、セキュリティを保ちながらクレデンシャルを扱います。

header("Access-Control-Allow-Origin: https://trusted-website.com");
header("Access-Control-Allow-Credentials: true");

3. 必要最小限のHTTPメソッドとヘッダーを許可する

Access-Control-Allow-MethodsおよびAccess-Control-Allow-Headersヘッダーでは、許可するHTTPメソッドとリクエストヘッダーを必要最小限に制限します。これにより、潜在的な攻撃ベクトルを減らすことができます。

header("Access-Control-Allow-Methods: GET, POST");
header("Access-Control-Allow-Headers: Content-Type, Authorization");

不要なメソッドやヘッダーの許可を避けることで、リクエストの安全性が向上します。

4. プリフライトリクエストのキャッシュを適切に設定する

Access-Control-Max-Ageヘッダーを使用して、プリフライトリクエストのキャッシュ期間を設定します。キャッシュを利用することで、頻繁なプリフライトリクエストを避けることができ、パフォーマンスを向上させることができます。

header("Access-Control-Max-Age: 3600"); // 1時間のキャッシュ

キャッシュ期間は適切に設定し、セキュリティのリスクを最小限に抑えつつ効率化を図ります。

5. 動的にオリジンを検証する

特定のオリジンのみを許可する場合、リクエストのOriginヘッダーを動的に検証し、信頼されたオリジンであればCORSを有効にする方法も有効です。

$allowed_origins = ["https://trusted-website.com", "https://another-trusted-site.com"];

if (in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
}

これにより、オリジンのリストを管理しつつ、特定のオリジンのみを許可する柔軟な設定が可能です。

6. デフォルトのCORS設定をセキュアに保つ

CORSの設定は、セキュリティの観点からデフォルトで厳格に保つようにし、例外的に必要な場合にのみ許可を緩和するアプローチを取るべきです。開発環境と本番環境で設定を分けることも有効です。

これらのベストプラクティスを採用することで、CORSによるリスクを最小限に抑え、安全で信頼性の高いWebアプリケーションを構築することができます。

実践的なCORS設定例：コードサンプル

ここでは、PHPを使用した実践的なCORS設定の例をいくつか紹介します。これらのコードサンプルは、一般的なCORS要件に対応する方法を示し、セキュリティを考慮しながら柔軟な設定を実現します。

シンプルなCORS設定例

特定のオリジンからのGETおよびPOSTリクエストを許可するシンプルな例です。ワイルドカードを使用せず、信頼できるオリジンのみを指定します。

// 許可するオリジンを設定
$allowed_origin = "https://trusted-website.com";

// リクエスト元が許可されたオリジンの場合にCORSを設定
if ($_SERVER['HTTP_ORIGIN'] === $allowed_origin) {
    header("Access-Control-Allow-Origin: $allowed_origin");
    header("Access-Control-Allow-Methods: GET, POST");
    header("Access-Control-Allow-Headers: Content-Type");
}

このコードにより、https://trusted-website.comからのGETおよびPOSTリクエストのみが許可されます。

クレデンシャルを伴うCORS設定

クッキーや認証情報を含むリクエストを許可する場合の例です。Access-Control-Allow-Credentialsヘッダーを使用して、クレデンシャルを許可します。

// 許可するオリジンのリスト
$allowed_origins = ["https://trusted-website.com", "https://another-trusted-site.com"];

// リクエスト元がリストに含まれているかを確認
if (in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    header("Access-Control-Allow-Credentials: true");
}

このコードでは、指定されたオリジンのリストに含まれる場合のみ、CORSが有効になり、クレデンシャルの送信が許可されます。

プリフライトリクエストの処理を含むCORS設定

OPTIONSメソッドによるプリフライトリクエストを処理する場合の例です。プリフライトリクエストが来た際に必要なヘッダーを設定し、リクエストを許可します。

// 許可するオリジン
$allowed_origin = "https://trusted-website.com";

// OPTIONSメソッドのリクエストかどうかを確認
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("Access-Control-Allow-Origin: $allowed_origin");
    header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    header("Access-Control-Max-Age: 86400"); // キャッシュ期間を1日に設定
    exit(0); // プリフライトリクエストの処理後に終了
}

// 通常のリクエストに対するCORS設定
header("Access-Control-Allow-Origin: $allowed_origin");
header("Access-Control-Allow-Methods: GET, POST");
header("Access-Control-Allow-Headers: Content-Type");

このコードにより、プリフライトリクエストが適切に処理されるとともに、通常のGETおよびPOSTリクエストも許可されます。

動的にオリジンを検証する例

クライアントのオリジンが動的に変わる場合、サーバー側でリクエスト元のオリジンを検証してCORSを設定することができます。

// 許可されたオリジンの配列
$allowed_origins = ["https://trusted-website.com", "https://another-trusted-site.com"];

// リクエスト元が許可リストに含まれている場合にのみCORSを有効にする
if (isset($_SERVER['HTTP_ORIGIN']) && in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
}

このコードは、許可されたオリジンのリストに基づいて動的にCORSを設定します。$_SERVER['HTTP_ORIGIN']を使用してリクエスト元のオリジンを検証し、適切なレスポンスを返します。

これらのコードサンプルを参考にすることで、実践的なCORS設定をPHPで実装し、セキュアなクロスオリジンリクエストの制御が可能になります。

LaravelなどのフレームワークでのCORS設定

PHPフレームワークを使用している場合、CORSの設定は通常、フレームワークが提供するミドルウェアを活用して行います。ここでは、Laravelを例にとり、CORSを設定する方法について説明します。

LaravelでのCORS設定

Laravelでは、CORSの設定をミドルウェアを通じて簡単に実装できます。Laravel 7以降、CORSのサポートは標準で組み込まれており、config/cors.phpファイルを使って設定を行います。

1. `config/cors.php`での設定

Laravelプロジェクトのconfig/cors.phpファイルを編集して、CORS設定を行います。例えば、次の設定では特定のオリジンのみを許可し、クレデンシャルを有効にする方法を示します。

return [
    'paths' => ['api/*', 'sanctum/csrf-cookie'],
    'allowed_methods' => ['*'],
    'allowed_origins' => ['https://trusted-website.com', 'https://another-trusted-site.com'],
    'allowed_origins_patterns' => [],
    'allowed_headers' => ['Content-Type', 'X-Requested-With', 'Authorization'],
    'exposed_headers' => [],
    'max_age' => 0,
    'supports_credentials' => true,
];

この設定では、https://trusted-website.comおよびhttps://another-trusted-site.comからのリクエストを許可し、すべてのHTTPメソッドをサポートしています。また、クレデンシャルの使用をsupports_credentialsで許可しています。

2. ミドルウェアによるCORS設定

CORSミドルウェアをカスタマイズすることも可能です。ミドルウェアを作成してリクエストごとに異なるCORS設定を適用することができます。

// app/Http/Middleware/CustomCors.php
namespace App\Http\Middleware;

use Closure;

class CustomCors
{
    public function handle($request, Closure $next)
    {
        $response = $next($request);

        // 必要に応じてCORSヘッダーを設定
        $response->headers->set('Access-Control-Allow-Origin', 'https://trusted-website.com');
        $response->headers->set('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
        $response->headers->set('Access-Control-Allow-Headers', 'Content-Type, Authorization');
        $response->headers->set('Access-Control-Allow-Credentials', 'true');

        return $response;
    }
}

このミドルウェアを有効にするためには、app/Http/Kernel.phpでルートミドルウェアとして登録する必要があります。

// app/Http/Kernel.php
protected $middlewareGroups = [
    'web' => [
        // その他のミドルウェア
        \App\Http\Middleware\CustomCors::class,
    ],
];

SymfonyでのCORS設定

Symfonyでも、CORSを設定するにはミドルウェアに相当するHTTPカーネルやイベントリスナーを使用します。nelmio/cors-bundleというパッケージを使うと簡単にCORSを設定できます。

1. composer require nelmio/cors-bundleコマンドでパッケージをインストールします。
2. config/packages/nelmio_cors.yamlファイルでCORSの設定を行います。

# config/packages/nelmio_cors.yaml
nelmio_cors:
    defaults:
        allow_origin: ['https://trusted-website.com']
        allow_methods: ['GET', 'POST', 'OPTIONS']
        allow_headers: ['Content-Type', 'Authorization']
        max_age: 3600
        allow_credentials: true
    paths:
        '^/api/':
            allow_origin: ['*']
            allow_methods: ['GET', 'POST', 'PUT', 'DELETE']

この設定により、/api/パスに対するリクエストのCORSを制御できます。

他のフレームワークでのCORS設定

CakePHP、CodeIgniter、Slimなどの他のPHPフレームワークでも、ミドルウェアまたは設定ファイルを用いてCORSを設定できます。共通するアプローチとしては、ルーティングやコントローラーにフィルターを追加する方法や、ミドルウェアを使ってリクエストに応じたレスポンスヘッダーを設定する方法があります。

これらのフレームワークにおけるCORSの設定は、セキュリティを保ちながら柔軟なリクエスト制御を可能にするため、適切に設定することが重要です。

まとめ

本記事では、PHPでのCORS制御方法について、基本的な概念から具体的な設定方法までを解説しました。CORSは、異なるオリジン間でのリソース共有を制御するための重要なセキュリティ機構であり、適切に設定することで、安全で柔軟なWebアプリケーションを構築することができます。

PHPでの基本的なCORSヘッダー設定、プリフライトリクエストの処理、フレームワークでの設定方法、そしてベストプラクティスを押さえておくことで、クロスオリジンリクエストのエラーやセキュリティリスクを最小限に抑えることができます。