CORS ヘッダージェネレーターとは
CORS(クロスオリジンリソース共有)はどのウェブオリジンがリソースにアクセスできるかを制御するブラウザのセキュリティメカニズムです。ブラウザアプリが異なるドメインからデータを取得しようとするとブラウザはレスポンスのCORSヘッダーをチェックします。正しいCORSヘッダーがないとクロスオリジンリクエストは失敗しコンソールにCORSエラーが表示されます。
クイックアンサー
CORSヘッダーはブラウザのJavaScriptからサーバーリソースにアクセスできるウェブサイトを制御します。Access-Control-Allow-Originで許可するオリジンをAccess-Control-Allow-MethodsでHTTP動詞をAccess-Control-Allow-Credentialsでクッキーベースの認証を指定します。ワイルドカードの*オリジンと資格情報を組み合わせないでください。
Last updated: 2026-05-28
制限事項
- CORSはブラウザベースのリクエストのみを保護します。サーバー間のリクエスト、curl、直接API呼び出しはCORSの対象外です。CORSはサーバーのセキュリティ層ではなくブラウザの執行メカニズムです。
- 一部の古いブラウザ(IE 10以下)はCORSのサポートが不完全でプリフライトキャッシュを正しく処理できない場合があります。最新のウェブアプリではブラウザサポートは普遍的です。
- CORSヘッダーはDDoS、不正使用、または不正な非ブラウザアクセスからAPIを保護しません。CORSと併せて認証、レート制限、WAFを使用してください。
Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub
使い方
- 許可するオリジンを入力します。公開APIの場合は*を使用し制限付きアクセスの場合は特定のドメインを使用します。
- エンドポイントがサポートするHTTPメソッドとクライアントが送信する可能性のあるカスタムヘッダーを選択します。
- 資格情報のサポートは慎重に切り替えます。ブラウザは*オリジンと資格情報の組み合わせを拒否します。
- デプロイ形式を選択し生成されたヘッダー設定をコピーします。
主な用途
- 任意のフロントエンドが任意のドメインから呼び出せる公開APIを設定します。
- クッキーベースの認証を使用して自社のフロントエンドドメインのみがアクセスできるプライベートAPIエンドポイントを設定します。
- Cloudflare WorkerやExpress.jsバックエンド用に適切なプリフライトキャッシュ付きのCORSヘッダーを生成します。