CORSヘッダーテスターとは?
CORS(Cross-Origin Resource Sharing)ヘッダーテスターは、あるオリジンからのブラウザリクエストがサーバーのCORS設定で許可されるかを検証するツールです。CORSはサーバーがリソースにアクセスできるオリジンを指定するセキュリティ機構で、不正なクロスドメインリクエストを防ぎます。
使い方
- リクエストオリジン(リクエストを行うドメイン)を入力します。
- HTTPメソッドとカスタムヘッダーを指定します。
- サーバーのCORS設定(許可オリジン、メソッド、ヘッダー)を構成します。
- 「CORSテスト」をクリックして各チェックの合否結果を確認します。
CORS の主要概念
シンプルリクエスト(標準ヘッダーを持つGET、HEAD、POST)はプリフライトを発生させない場合があります。非シンプルリクエストは最初にOPTIONSプリフライトを送信します。サーバーは適切なAccess-Control-Allow-*ヘッダーで応答する必要があります。Allow-Originに*を使用するとすべてのオリジンを許可しますが、資格情報は許可されません。
よくある質問
プリフライトリクエストとは?
プリフライトは、非シンプルメソッド(PUT、DELETE)やカスタムヘッダーを使用する際にブラウザが実際のリクエスト前に送信するOPTIONSリクエストです。サーバーが正しいCORSヘッダーで応答しないと実際のリクエストは進行しません。
正しいオリジンでもCORSリクエストが失敗するのはなぜですか?
よくある原因には、許可メソッドの不足、許可ヘッダーの不足(特にAuthorizationなどのカスタムヘッダー)、またはサーバーがOPTIONSプリフライトリクエストを適切に処理していないことが含まれます。