CORS

一言でいうと

ブラウザが「異なるオリジン」へのリクエストを安全に許可するための仕組みのこと。

詳しい意味

CORS（Cross-Origin Resource Sharing）は、ブラウザが「JavaScript からの異なるオリジン（プロトコル + ドメイン + ポートが異なる）へのリクエスト」を、サーバー側の許可ヘッダがある場合に限って許す仕組みです。同一オリジンポリシー（SOP）の例外を作るための業界標準仕様。サーバー側で `Access-Control-Allow-Origin` などのレスポンスヘッダで「どのオリジンからのアクセスを許すか」を明示します。「フロントは vercel.app、バックエンドは api.example.com」のように分離した構成で必須の設定。よく「CORSエラー」で開発者が詰まるポイントですが、これは『ブラウザがちゃんと安全機構を働かせている』証拠でもあります。

何に使うか

フロントエンドとバックエンドのドメインが分離した構成。社内APIを別ドメインのアプリから呼び出すとき。サードパーティから自社APIを使ってもらうとき。

どんな時に出るか

「CORSエラーが出る」「Access-Control-Allow-Origin 設定」「CORSプリフライト」といった場面で登場します。

具体例

• API サーバー側で Access-Control-Allow-Origin にフロントの URL を許可リスト指定した。
• CORSプリフライト（OPTIONS リクエスト）が遅くて API レイテンシーに影響したのでキャッシュさせた。

別名・略称

関連語

間違えやすい語

初心者向けメモ

ホテルの「他の部屋から自分の部屋に入っていいか」のチェックです。隣の部屋（別オリジン）から勝手に来られたら困るので、フロント（ブラウザ）が「あなたを通していいですか？」と必ず確認する仕組み。サーバー側が「OKです」と書いてあれば通れる。

この説明に改善点はありますか？

提案は管理者が確認した後に反映されます