PHPでCORSポリシーを設定して安全なクロスオリジンリクエストを制御する方法

クロスオリジンリクエスト（Cross-Origin Resource Sharing、CORS）は、Webアプリケーションが他のドメインにあるリソースにアクセスする際に利用されます。通常、ブラウザのセキュリティポリシーでは、異なるオリジン間のリクエストは制限されていますが、CORSを使用することでこの制限を緩和し、必要に応じて安全にリソースを共有できます。

PHPを用いてCORSポリシーを正しく設定することは、Webアプリケーションのセキュリティを強化するために重要です。設定を誤ると、リソースが悪意のあるサイトによって不正に利用される可能性があります。本記事では、PHPでのCORSポリシーの基本から具体的な設定方法まで、包括的に解説します。

CORS（クロスオリジンリソース共有）とは

CORS（Cross-Origin Resource Sharing）は、あるオリジン（ドメイン、プロトコル、ポートの組み合わせ）から別のオリジンに対してリソースをリクエストする際に、ブラウザがそのリクエストを許可するかどうかを決定する仕組みです。ブラウザのセキュリティポリシーでは、異なるオリジン間でのリソースのやり取りが制限されています。これは、Webサイトが悪意のあるスクリプトに対して脆弱にならないようにするための措置です。

CORSの役割

CORSの役割は、リソースの不正使用を防ぎつつ、信頼できるリクエストのみを許可することです。CORS設定を行うことで、特定のオリジンからのリクエストを許可し、他のオリジンからのリクエストは拒否することが可能になります。これにより、アプリケーションのセキュリティが確保されつつ、必要なリソース共有が実現されます。

例：クロスオリジンリクエストのシナリオ

たとえば、あるWebアプリケーションがAPIを通じて別のサーバーのデータを取得する場合、そのリクエストは異なるオリジンからのものと見なされます。このようなシナリオでは、CORS設定が適切に行われていないと、ブラウザがリクエストをブロックする可能性があります。

CORSポリシーの基本設定方法

PHPでCORSポリシーを設定するには、サーバー側で特定のHTTPレスポンスヘッダーを追加する必要があります。これにより、クライアント（ブラウザ）がリクエストを許可するかどうかを判断できます。基本的なCORS設定では、Access-Control-Allow-Origin ヘッダーを使用して、許可するオリジンを指定します。

基本的なCORS設定の手順

PHPスクリプトの最初に、適切なレスポンスヘッダーを設定します。以下は、すべてのオリジンからのリクエストを許可する例です：

header("Access-Control-Allow-Origin: *");

このコードを使用すると、どのオリジンからのリクエストも許可されますが、セキュリティの観点からは、特定のオリジンのみを許可する方が望ましいです。

特定のオリジンを許可する例

特定のオリジンのみを許可する場合、* の代わりにそのオリジンを指定します：

header("Access-Control-Allow-Origin: https://example.com");

この設定により、https://example.com からのリクエストのみが許可され、それ以外のオリジンからのリクエストは拒否されます。

基本設定のポイント

• CORSポリシーの設定は、適切なヘッダーを使用して行う必要があります。
• すべてのオリジンを許可する設定（*）は避け、可能な限り特定のオリジンを指定するようにしましょう。

オリジンを指定して許可する方法

CORS設定において、すべてのオリジンを許可するのはセキュリティリスクを伴うため、特定の信頼できるオリジンのみを許可するのがベストプラクティスです。PHPでは、Access-Control-Allow-Origin ヘッダーを設定することで、特定のオリジンからのリクエストを許可できます。

単一のオリジンを許可する方法

特定のオリジンを許可するには、そのオリジンのURLを指定します。たとえば、https://trusted-site.com からのリクエストのみを許可するには、以下のように設定します：

header("Access-Control-Allow-Origin: https://trusted-site.com");

この設定により、https://trusted-site.com からのリクエストは許可されますが、他のオリジンからのリクエストは拒否されます。

複数のオリジンを動的に許可する方法

複数のオリジンを許可する場合、サーバー側でオリジンを動的にチェックし、許可するオリジンに対してのみレスポンスヘッダーを設定します。以下は、その例です：

$allowed_origins = ["https://trusted-site.com", "https://another-trusted-site.com"];
if (in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
}

このコードは、リクエスト元のオリジンが許可リストに含まれている場合にのみ、そのオリジンをCORSヘッダーに設定します。

ワイルドカードの制限について

Access-Control-Allow-Origin ヘッダーで *（ワイルドカード）を使用すると、すべてのオリジンを許可する設定になりますが、認証情報を含めたリクエスト（Access-Control-Allow-Credentials: true が設定されたリクエスト）には使用できません。特定のオリジンを指定することで、セキュリティを高めることができます。

HTTPメソッドごとの許可設定

CORSポリシーでは、どのHTTPメソッドを許可するかを指定することが重要です。PHPでのCORS設定では、Access-Control-Allow-Methods ヘッダーを使用して、許可するHTTPメソッドを明示することができます。

特定のHTTPメソッドを許可する方法

通常、許可するHTTPメソッドを指定することで、特定の操作のみを安全に実行できるように制限します。以下は、GET、POST、および PUT メソッドを許可する例です：

header("Access-Control-Allow-Methods: GET, POST, PUT");

この設定により、GET、POST、および PUT メソッドで行われたリクエストが許可され、他のメソッド（例：DELETE、OPTIONS など）は拒否されます。

すべてのHTTPメソッドを許可する場合

すべてのHTTPメソッドを許可したい場合は、ワイルドカードを使わずに明示的に指定します：

header("Access-Control-Allow-Methods: *");

ただし、すべてのメソッドを許可することはセキュリティリスクが伴うため、通常は必要なメソッドだけを指定することが推奨されます。

メソッドごとのセキュリティ考慮事項

• GET：通常、安全なリクエストですが、データの漏洩を防ぐために慎重に設定します。
• POST：データの送信やアップデートが行われるため、適切なバリデーションが必要です。
• PUT、DELETE：データの変更や削除に使用されるため、特に慎重な設定が求められます。

OPTIONSメソッドとプリフライトリクエスト

CORSリクエストでは、特定の状況でブラウザが OPTIONS メソッドを使用したプリフライトリクエストを送信します。これに対しても適切に許可を設定する必要があります：

header("Access-Control-Allow-Methods: GET, POST, PUT, OPTIONS");

これにより、ブラウザはプリフライトリクエストに対しても適切なレスポンスを得ることができます。

ヘッダーの設定と制御

CORSポリシーを正しく設定するためには、レスポンスヘッダーの設定が不可欠です。CORS関連のヘッダーは、リクエストの制御方法を指定し、どのリソースがどの条件でアクセス可能かを決定します。PHPでは、Access-Control-Allow-Headers などのヘッダーを設定することで、クライアントがリクエスト時に使用するカスタムヘッダーや認証情報の扱いを制御できます。

Access-Control-Allow-Headers の設定

Access-Control-Allow-Headers ヘッダーは、リクエストに含まれるカスタムヘッダー（例：Authorization、Content-Type など）を許可するために使用します。以下のように設定することで、指定されたヘッダーを許可できます：

header("Access-Control-Allow-Headers: Content-Type, Authorization");

この設定により、Content-Type および Authorization ヘッダーを含むリクエストが許可されます。特に、認証情報を扱う場合には Authorization ヘッダーが必要となるため、適切に設定することが重要です。

Access-Control-Expose-Headers の使用

Access-Control-Expose-Headers ヘッダーを使用すると、クライアントがアクセスできるレスポンスヘッダーを指定できます。デフォルトでは、ブラウザはいくつかの標準ヘッダーのみを公開しますが、追加で公開したいヘッダーがある場合は次のように設定します：

header("Access-Control-Expose-Headers: X-Custom-Header, Authorization");

この設定により、X-Custom-Header や Authorization などのカスタムヘッダーをクライアント側で参照可能になります。

Access-Control-Allow-Credentials の設定

Access-Control-Allow-Credentials ヘッダーは、認証情報（クッキー、HTTP認証情報、クライアント証明書）を含むリクエストを許可するかどうかを指定します。認証情報を含むリクエストを許可するには、以下のように設定します：

header("Access-Control-Allow-Credentials: true");

この設定を行うと、クッキーなどの認証情報を伴ったクロスオリジンリクエストが許可されます。ただし、Access-Control-Allow-Origin にワイルドカード（*）を使用する場合は、Allow-Credentials ヘッダーを設定できない点に注意が必要です。

セキュリティの考慮事項

• 許可するヘッダーを最小限に抑える：セキュリティリスクを減らすため、必要なヘッダーのみを許可します。
• Allow-Credentials の使用に注意：この設定を行うとセキュリティリスクが増大する可能性があるため、許可するオリジンを慎重に選定します。

これらのヘッダーを正しく設定することで、CORSポリシーをより安全かつ柔軟に制御できます。

認証情報を含めたリクエストの制御

CORSポリシーを設定する際、認証情報（クッキー、セッショントークン、HTTP認証情報など）を含むリクエストをどのように扱うかが重要です。PHPでは、Access-Control-Allow-Credentials ヘッダーを設定することで、これらの認証情報を含むクロスオリジンリクエストを許可できます。

Access-Control-Allow-Credentials ヘッダーの使用

Access-Control-Allow-Credentials ヘッダーは、リクエストがクッキーや認証情報を伴う場合に、そのリクエストを許可するかどうかを指定します。認証情報を含むリクエストを許可するためには、以下のように設定します：

header("Access-Control-Allow-Credentials: true");

この設定により、認証情報を含んだリクエストが可能になります。しかし、この設定を有効にする場合、Access-Control-Allow-Origin にワイルドカード（*）を使用することはできません。許可するオリジンを具体的に指定する必要があります。

特定のオリジンを許可して認証情報を扱う例

以下の例では、特定のオリジン（https://trusted-site.com）のみからの認証情報を含むリクエストを許可しています：

header("Access-Control-Allow-Origin: https://trusted-site.com");
header("Access-Control-Allow-Credentials: true");

この設定により、https://trusted-site.com からのリクエストのみが認証情報を含んだ形で許可されます。その他のオリジンからのリクエストは拒否されるため、セキュリティが確保されます。

セキュリティ上の考慮点

• 信頼できるオリジンのみ許可する：Access-Control-Allow-Credentials を設定する際は、信頼できるオリジンを限定的に許可することが重要です。
• クッキーの設定：セッション管理で使用するクッキーには、SameSite=None; Secure 属性を付与し、クロスオリジンリクエストで安全に使用できるようにする必要があります。

認証情報を含むリクエストのシナリオ

• ユーザー認証が必要なAPIリクエスト：ユーザーがログインしている状態で外部APIにアクセスする場合、認証情報を伴うリクエストが必要です。
• セッション管理を伴うアプリケーション：ショッピングカートの内容を保存するなど、ユーザー固有のデータを処理する際にクッキーを使用します。

これらの設定を正しく行うことで、認証情報を安全に管理しながらクロスオリジンリクエストを許可できます。

プリフライトリクエストの処理

プリフライトリクエストは、CORS設定において特定の条件を満たすリクエストが行われる前に、ブラウザがサーバーに送信する事前確認のリクエストです。これにより、実際のリクエストが安全に行えるかどうかをチェックします。プリフライトリクエストは、特にPUTやDELETEなどの特定のHTTPメソッドを使用する場合や、カスタムヘッダーを伴う場合に行われます。

プリフライトリクエストとは

プリフライトリクエストは、OPTIONS メソッドを使用して行われます。ブラウザが送信するリクエストの種類や内容に応じて、サーバーが適切なCORS設定を返す必要があります。具体的には、Access-Control-Allow-Methods や Access-Control-Allow-Headers ヘッダーを使って、許可するHTTPメソッドやヘッダーの情報を返します。

PHPでのプリフライトリクエスト処理の例

以下は、PHPでプリフライトリクエストに応答する基本的な方法です：

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("Access-Control-Allow-Origin: https://trusted-site.com");
    header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    header("Access-Control-Max-Age: 3600"); // プリフライトリクエストの結果をキャッシュする時間（秒）
    exit(0);
}

このコードでは、OPTIONS メソッドで送信されたリクエストに対して適切なヘッダーを返し、リクエストが許可された場合は通常のリクエストが続行されます。

Access-Control-Max-Age ヘッダーの設定

Access-Control-Max-Age ヘッダーは、プリフライトリクエストの結果をキャッシュする時間を秒単位で指定します。これにより、一定期間内に同じリクエストが発生した場合、再度プリフライトリクエストを行う必要がなくなります。

header("Access-Control-Max-Age: 86400"); // 24時間

この設定により、ブラウザは24時間プリフライトリクエストの結果をキャッシュします。

プリフライトリクエストの重要性

• サーバー負荷の軽減：キャッシュを利用することで、頻繁にプリフライトリクエストを行うことを避け、サーバーの負荷を軽減できます。
• セキュリティの向上：プリフライトリクエストにより、サーバーは許可するリクエストの内容を事前に制御でき、不正なリクエストを防ぐことが可能です。

正しくプリフライトリクエストを処理することで、CORS設定がより安全かつ効率的になります。

セキュリティのベストプラクティス

CORSポリシーを安全に設定することは、Webアプリケーションのセキュリティを高めるために非常に重要です。適切な設定を行わないと、悪意のあるサイトによるクロスサイトスクリプティング（XSS）やクロスサイトリクエストフォージェリ（CSRF）などの攻撃を受ける可能性が高まります。ここでは、CORSを安全に設定するためのベストプラクティスを紹介します。

信頼できるオリジンのみを許可する

Access-Control-Allow-Origin にワイルドカード（*）を設定すると、すべてのオリジンからのリクエストが許可されますが、これは非常に危険です。信頼できるオリジンを明示的に指定することで、リスクを軽減できます。

header("Access-Control-Allow-Origin: https://trusted-site.com");

このように特定のオリジンを指定することで、不正なオリジンからのリクエストを防ぎます。

特定のHTTPメソッドとヘッダーのみを許可する

CORSポリシーで許可するHTTPメソッドやヘッダーを必要最低限に制限することで、攻撃のリスクを減らせます。たとえば、GET および POST メソッドのみを許可し、不要なメソッドやカスタムヘッダーは許可しないようにします。

header("Access-Control-Allow-Methods: GET, POST");
header("Access-Control-Allow-Headers: Content-Type");

Access-Control-Allow-Credentials の使用には注意する

認証情報（クッキー、セッショントークン）を伴うリクエストを許可する場合、Access-Control-Allow-Credentials を true に設定しますが、この設定を行うとセキュリティリスクが高まる可能性があります。この場合、信頼できるオリジンを指定することが必須です。

header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: https://trusted-site.com");

このように設定することで、認証情報を安全に扱うことができます。

プリフライトリクエストの結果をキャッシュする

Access-Control-Max-Age を設定してプリフライトリクエストの結果をキャッシュすることで、不要なリクエストの繰り返しを防ぎ、サーバーの負荷を軽減できます。キャッシュ時間はセキュリティ要件に応じて設定します。

header("Access-Control-Max-Age: 3600"); // 1時間

サーバー側のセキュリティ対策も実施する

CORSポリシーの設定だけでなく、サーバー側でも入力データのバリデーションや認証・認可の仕組みを導入することが重要です。セキュリティ対策は多層的に行うことで、より堅牢なアプリケーションを構築できます。

定期的なセキュリティレビュー

CORSポリシーが適切かどうか、定期的にセキュリティレビューを行い、必要に応じて設定を見直します。新たな脅威やアプリケーションの変更に対して柔軟に対応できるようにしておくことが望ましいです。

これらのベストプラクティスを実践することで、CORSポリシーを適切に管理し、安全なクロスオリジンリクエストを実現できます。

トラブルシューティングとエラーメッセージの解決方法

CORS設定に問題があると、ブラウザのコンソールにエラーメッセージが表示され、リクエストがブロックされます。ここでは、よくあるCORSエラーメッセージの解釈と、その解決方法について説明します。

Access-Control-Allow-Origin エラー

エラーメッセージ例:

No 'Access-Control-Allow-Origin' header is present on the requested resource.

このエラーは、サーバーがAccess-Control-Allow-Origin ヘッダーを含まないレスポンスを返していることを示します。リクエストが許可されるようにするには、サーバー側で適切なオリジンを指定したAccess-Control-Allow-Origin ヘッダーを追加する必要があります。

header("Access-Control-Allow-Origin: https://trusted-site.com");

Access-Control-Allow-Methods エラー

エラーメッセージ例:

Method ... is not allowed by Access-Control-Allow-Methods.

このエラーは、リクエストで使用したHTTPメソッドがサーバーで許可されていない場合に発生します。サーバー側でAccess-Control-Allow-Methods ヘッダーを設定し、許可するメソッドを明示的に指定する必要があります。

header("Access-Control-Allow-Methods: GET, POST, PUT");

Access-Control-Allow-Headers エラー

エラーメッセージ例:

Request header field ... is not allowed by Access-Control-Allow-Headers.

このエラーは、リクエストに含まれるカスタムヘッダーがサーバーで許可されていない場合に発生します。サーバーでAccess-Control-Allow-Headers ヘッダーを追加し、必要なカスタムヘッダーを許可します。

header("Access-Control-Allow-Headers: Content-Type, Authorization");

Access-Control-Allow-Credentials エラー

エラーメッセージ例:

The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'.

このエラーは、Access-Control-Allow-Credentials がtrue に設定されている場合に、Access-Control-Allow-Origin ヘッダーにワイルドカード（*）を使用していると発生します。信頼できるオリジンを明示的に指定する必要があります。

header("Access-Control-Allow-Origin: https://trusted-site.com");
header("Access-Control-Allow-Credentials: true");

プリフライトリクエストに関するエラー

エラーメッセージ例:

Response to preflight request doesn't pass access control check.

このエラーは、プリフライトリクエスト（OPTIONS メソッド）に対するサーバーの応答が適切に設定されていない場合に発生します。プリフライトリクエスト用のヘッダーを正しく設定して、許可されるオリジンやメソッド、ヘッダーを指定する必要があります。

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("Access-Control-Allow-Origin: https://trusted-site.com");
    header("Access-Control-Allow-Methods: GET, POST, PUT, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    exit(0);
}

デバッグとトラブルシューティングの手法

• ブラウザのデベロッパーツールを活用する：ブラウザのコンソールに表示されるエラーメッセージを確認し、CORSヘッダーの設定ミスを特定します。
• サーバーのレスポンスヘッダーを確認する：サーバーが正しいCORSヘッダーを返しているかどうかを確認します。必要に応じてログを出力してデバッグを行います。
• プリフライトリクエストの応答をテストする：OPTIONS リクエストを手動で送信し、適切なレスポンスが返るかを確認します。

これらの対処法を実践することで、CORSエラーの発生を防ぎ、クロスオリジンリクエストを円滑に行えるようにします。

応用例：実際のプロジェクトでのCORS設定

実際のWebアプリケーションでCORSを設定するには、プロジェクトの要件に応じた柔軟な設定が求められます。ここでは、CORSを利用したAPI構築の具体例を紹介し、PHPでの設定方法を詳しく解説します。

例1：シンプルなREST APIのCORS設定

REST APIを公開する場合、特定のオリジンからのリクエストのみを許可し、GET および POST メソッドをサポートする設定を行います。以下のコードは、https://trusted-site.com からのリクエストのみを許可し、認証情報を含めない基本的な設定です。

header("Access-Control-Allow-Origin: https://trusted-site.com");
header("Access-Control-Allow-Methods: GET, POST");
header("Access-Control-Allow-Headers: Content-Type");

この設定により、APIは指定されたオリジンからのGET とPOST リクエストに対応し、他のオリジンやメソッドは拒否されます。

例2：認証が必要なAPIでのCORS設定

ユーザー認証を行うAPIでは、クッキーやセッショントークンを利用してセッション管理を行う必要があります。この場合、認証情報を含むリクエストを許可するために、Access-Control-Allow-Credentials を設定します。

header("Access-Control-Allow-Origin: https://secure-app.com");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE");
header("Access-Control-Allow-Headers: Content-Type, Authorization");
header("Access-Control-Allow-Credentials: true");

この設定では、https://secure-app.com からの認証付きリクエストのみを許可し、Authorization ヘッダーを含むリクエストも処理可能にしています。

例3：複数のオリジンをサポートするCORS設定

複数のオリジンからのリクエストを許可する場合は、サーバー側で動的にオリジンをチェックし、許可するオリジンのみCORS設定を行います。

$allowed_origins = ["https://app1.com", "https://app2.com"];
if (in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
    header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type");
    header("Access-Control-Allow-Credentials: true");
}

このコードは、app1.com や app2.com からのリクエストがあった場合にのみ、それぞれのオリジンを許可します。その他のオリジンからのリクエストは拒否されるため、セキュリティが強化されます。

例4：プリフライトリクエストを含む高度な設定

APIでPUTやDELETE メソッドをサポートする場合、プリフライトリクエストへの対応が必要です。次のコードは、OPTIONS メソッドによるプリフライトリクエストに対する処理を追加した例です。

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header("Access-Control-Allow-Origin: https://trusted-site.com");
    header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
    header("Access-Control-Allow-Headers: Content-Type, Authorization");
    header("Access-Control-Max-Age: 3600");
    exit(0);
}

header("Access-Control-Allow-Origin: https://trusted-site.com");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE");
header("Access-Control-Allow-Headers: Content-Type, Authorization");

この設定により、プリフライトリクエストの結果を1時間キャッシュし、頻繁なリクエストを効率化します。

応用例のまとめ

• シンプルなAPIの設定：基本的なCORSポリシーを実装し、特定のオリジンとメソッドを許可します。
• 認証が必要なAPI：Allow-Credentials を有効にして、セッション管理を行う場合に備えます。
• 動的なオリジンの処理：複数の信頼できるオリジンを許可する際に、動的にチェックします。
• 高度なプリフライトリクエストの対応：プリフライトリクエストを適切に処理することで、より複雑なAPI要件をサポートします。

これらの設定例をもとに、プロジェクトの要件に応じて適切なCORSポリシーを実装することができます。

まとめ

本記事では、PHPでのCORSポリシー設定を通じて、安全にクロスオリジンリクエストを制御する方法について詳しく解説しました。CORSの基本概念から、具体的な設定方法、認証情報を含むリクエストの扱い、プリフライトリクエストの処理、セキュリティのベストプラクティスまでを紹介し、実際のプロジェクトでの応用例も取り上げました。

適切なCORS設定を行うことで、アプリケーションのセキュリティを強化しつつ、必要なリソース共有を安全に実現できます。各プロジェクトの要件に応じてCORSポリシーをカスタマイズし、セキュリティと利便性のバランスを保つことが重要です。