CORS (HTTP)

[1] CORS (コルス) (Cross-Origin Resource Sharing、起源間資源共有、HTTP CORS プロトコル (protocol) とも。) は、同一起源ポリシーの制約を超えて Webアプリケーションが異なる起源の資源にアクセスするための仕組みです。

[61] XHR その他の DOM API や HTML要素などを使って HTTP アクセスを行う際に用いられます。

仕様書

[47] Fetch Standard (2014-01-10 13:25:58 +09:00 版) http://fetch.spec.whatwg.org/#http-cors-protocol

[51] 仕様書としての CORS は発展的に消滅して Fetch Standard となりました。 W3C のサイトにある CORS 仕様書はそれ以前の古い版です。

概要

[52] Web のセキュリティーモデルに従えば、原則として異なる起源を持つ資源にはアクセスできません (同一起源ポリシー)。例えばスクリプトは、異なるドメインの URL から情報を取得することができません。 CORS はこの制限を緩和するものです。異なるドメインの URL であっても、 HTTP応答に CORS の適切なヘッダーが含まれていれば、その応答に含まれる情報にスクリプトがアクセスできるようになります。

HTTP CORS プロトコル

[53] HTTP CORSプロトコルは Fetch Standard で規定されており、 fetch の際に HTTP ヘッダーや OPTIONS メソッドの要求を使った起源鯖とクライアントとのやりとりにより、異なる起源の資源に対するアクセスを認めることができるものです。

XXX

CORS 属性

[54] HTML の img 要素など埋め込み内容系の要素には crossorigin 属性が用意されており、 CORS を利用するかを制御できます。

XXX CORS設定群属性

歴史

[3] CORS は元々は VoiceXML Working Group により <?access-control?> 処理指令として検討されていましたが、 Web Apps WG に引き継がれ、HTTP 頭欄 Access-Control: 頭欄などを経て、最終的に現在の形になりました。

[4] 旧案時代の歴史は <?access-control?> の項を参照してください。

W3C CORS

[28] Cross-Origin Resource Sharing (2012-03-01 14:27:55 +09:00 版) http://dvcs.w3.org/hg/cors/raw-file/tip/Overview.html#introduction

[30] CORS の応用の一覧は CORS API仕様の項をご覧ください。

XHR + CORS

対応ブラウザ

[8] Firefox 3.5+ (2009/6) >>7, >>13
[9] Chrome >>7, >>13
- [16] Chrome 2 (2009/5) は既に対応している >>15
- [17] 世間では Chrome2 以降説と Chrome3 以降説が流布されているw 実際にいつから実装されてるのか不明 2011-04-24T02:36:05.800Z
[10] Safari 4+ (2009/6) >>7, >>13
[12] Opera >>13
- [14] >>13 には対応していると書いてあるものの、公式情報を見つけられないので要検証。 Opera 10 は未対応。

XDR

対応ブラウザ

[11] IE 8+ (2009/3) >>7, >>13

[18] IE (少なくても 8) では Cookie を送らせることができない。

出典

HTML との統合

[5] IRC logs: freenode / #whatwg / 20101014 ( (2010-10-24 00:00:38 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20101014#l-476

[6] IRC logs: freenode / #whatwg / 20101103 ( (2010-11-13 16:04:31 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20101103

[19] Web Applications 1.0 r6142 First draft for working out how to use CORS with <img>, <video>, and <audio>. ( (2011-05-18 10:09:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=6141&to=6142

[20] IRC logs: freenode / #whatwg / 20110520 ( (2011-05-22 19:41:16 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20110520

[21] Web Applications 1.0 r6144 Update how CORS works with <img> and <video> (and <audio> and <track>). ( (2011-05-24 05:43:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=6143&to=6144

[22] Web Applications 1.0 r6147 Change cross-origin= to crossorigin= since people don't seem to like hyphens. Poor hyphens. ( (2011-05-24 06:29:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=6146&to=6147

[23] Web Applications 1.0 r6255 CORS-enable EventSource, for cross-site event streams ( (2011-06-18 04:57:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=6254&to=6255

[24] [whatwg] CORS requests for image and video elements ( (2011-06-20 23:44:55 +09:00 版)) http://lists.whatwg.org/htdig.cgi/whatwg-whatwg.org/2011-May/031764.html

[25] [whatwg] Enhancement request: change EventSource to allow cross-domain access (2011-06-24 11:50:30 +09:00 版) http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2011-June/032212.html

[26] [whatwg] [CORS] WebKit tainting image instead of throwing error (2011-10-05 07:26:20 +09:00 版) http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2011-October/033389.html

[27] IRC logs: freenode / #whatwg / 20111011 ( (2011-10-12 00:08:40 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20111011

[2] Cross-Origin Resource Sharing http://dev.w3.org/2006/waf/access-control/

[29] >>2 が最新版の仕様書でしたが、 hg に移行したため現在は >>28 が最新版となっています。

[31] Cross-Origin Resource Sharing ( (2012-04-03 23:15:58 +09:00 版)) http://www.w3.org/TR/2012/WD-cors-20120403/

[32] [whatwg] [html5] r7128 - [giow] (2) Try to define img synchronous loading. Affected topics: HTML ( (2012-08-30 01:12:43 +09:00 版)) http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2012-August/037037.html

[35] CORS - W3C Wiki ( (2012-11-27 20:36:18 +09:00 版)) http://www.w3.org/wiki/CORS

[36] Cross-Origin Resource Sharing ( (2013-01-30 02:32:11 +09:00 版)) http://www.w3.org/TR/2013/CR-cors-20130129/

Fetch Standard へ

[48] 2012年初秋、 Anne が Opera を離れたことをきっかけに CORS は W3C から WHATWG へ移りましたが、懸案であった HTML Fetch との統合を見据えて fetch.spec.whatwg.org というドメイン名が選ばれました。

[33] Cross-Origin Resource Sharing Standard ( (2012-09-13 21:51:45 +09:00 版)) http://fetch.spec.whatwg.org/

[34] W3C TPAC: CORS — Anne’s Blog ( (2012-11-23 13:30:05 +09:00 版)) http://annevankesteren.nl/2012/11/cors

[49] 2013年春には HTML Fetch と CORS を統合して書きなおされた新しい Fetch Standard に置き換えられました。これによって単体の仕様書としての CORS は役目を終えました。

[37] Fetch: HTTP authentication and CORS ( (Anne van Kesteren 著, 2013-05-03 21:57:46 +09:00 版)) http://lists.w3.org/Archives/Public/public-webapps/2013AprJun/0487.html

[38] カスタムヘッダを使ったCSRF対策は安全に使えるかどうかということについて - 金利0無利息キャッシング – キャッシングできます - subtech ( (2013-06-12 01:28:13 +09:00 版)) http://subtech.g.hatena.ne.jp/mala/20130304/1362392723

[39] [whatwg] Fetch: please review! ( (2013-06-20 08:48:41 +09:00 版)) http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2013-June/039809.html

[40] IRC logs: freenode / #whatwg / 20131028 ( (2013-10-29 22:31:33 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20131028

W3C CORS 勧告

[50] 新しい Fetch Standard に統合された後も W3C Process 上 CORS 仕様書は残り続け、 2014年1月にはようやく W3C勧告となりました。 (しかし内容は Fetch との統合前の古いまま、つまり2年遅れです。)

[41] Cross-Origin Resource Sharing ( (2013-12-05 05:33:19 +09:00 版)) http://www.w3.org/TR/2013/PR-cors-20131205/

[42] CORS report ( ( 著, 2012-12-05 18:21:07 +09:00 版)) http://odinho.html5.org/CORS/testsuite-report.html

[43] CORS Edited PR report ( ( 著, 2013-08-16 05:30:57 +09:00 版)) http://webappsec-test.info/~bhill2/pub/CORS/cors-test-supplement.htm

[46] Cross-Origin Resource Sharing ( (2014-01-16 07:53:22 +09:00 版)) http://www.w3.org/TR/2014/REC-cors-20140116/

その後

[44] Re: [beacon] Random comments ( (Jonas Sicking 著, 2013-12-20 04:43:42 +09:00 版)) http://lists.w3.org/Archives/Public/public-web-perf/2013Dec/0108.html

[45] Bug 14703 – Integrate style sheet loading with CSSOM ( (2014-01-14 09:00:15 +09:00 版)) https://www.w3.org/Bugs/Public/show_bug.cgi?id=14703

[55] Web Applications 1.0 r8634 Big editorial cleanup. No normative changes. ( (2014-05-15 08:21:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=8633&to=8634

[56] Let CORS preflight fetch perform its own CORS check. Also if a CORS cach... · 49eb9d0 · whatwg/fetch ( (2014-09-10 02:48:50 +09:00 版)) https://github.com/whatwg/fetch/commit/49eb9d0e649331f9364a06767e5a17fc6155107b

[57] CORS performance (Anne van Kesteren 著, 2015-02-18 03:39:42 +09:00 版) https://lists.w3.org/Archives/Public/public-webapps/2015JanMar/0646.html

[58] Re: CORS performance (Anne van Kesteren 著, 2015-02-19 20:30:46 +09:00 版) https://lists.w3.org/Archives/Public/public-webapps/2015JanMar/0672.html

[59] CORS performance proposal (Anne van Kesteren 著, 2015-02-19 22:29:24 +09:00 版) https://lists.w3.org/Archives/Public/public-webappsec/2015Feb/0350.html

[60] Re: CORS performance (Jonas Sicking 著, 2015-02-20 05:20:38 +09:00 版) https://lists.w3.org/Archives/Public/public-webapps/2015JanMar/0696.html

[62] Re: [webappsec] CfC: Proposed non-normative updates to CORS (Mike West 著, 2015-07-01 15:49:16 +09:00 版) https://lists.w3.org/Archives/Public/public-webappsec/2015Jul/0002.html

[63] Merge pull request #485 from fmarier/sri-issue418 · w3c/webappsec@73e50e6 (2015-09-29 16:00:13 +09:00 版) https://github.com/w3c/webappsec/commit/73e50e6c3cd437a0c8921dd95b539f152fd85cae

[64] Safari 4.0 (2015-11-04 22:53:31 +09:00 版) https://developer.apple.com/library/safari/releasenotes/General/WhatsNewInSafari/Articles/Safari_4_0.html#//apple_ref/doc/uid/TP40014305-CH4-SW15

WebKit now has basic support for cross-site XML HTTP requests using W3C XMLHttpRequest Level 2 and W3C access control for cross-site requests. This provides a way for servers to specify that a cross-site request is allowed, by sending an Access-Control HTTP response header.

[65] Fix #152: give up on forced CORS preflights being a mode · whatwg/fetch@2ca5730 (2015-11-26 13:46:07 +09:00 版) https://github.com/whatwg/fetch/commit/2ca5730755795a4fc5e50c06f8fc477adb931d74

[66] Align with Fetch, forcing a CORS preflight is a flag again · whatwg/xhr@6ebf187 (2015-11-26 13:46:22 +09:00 版) https://github.com/whatwg/xhr/commit/6ebf187740869fe85893abcfcfa5a5e629a6584b

[67] Fix #169: make "no-cors" work with any credentials mode · whatwg/fetch@4147978 (2016-01-13 12:08:56 +09:00 版) https://github.com/whatwg/fetch/commit/4147978673c15047d1a5d4a76b1a403a7d75a956

[70] Fix #202: attempt to define CORS filtered response a little clearer · whatwg/fetch@b17b985 (2016-01-30 12:34:12 +09:00 版) https://github.com/whatwg/fetch/commit/b17b9859ae66de798cbad8759a8c84e7395a2557

[68] [integration] References to external resources · w3c/svgwg@6257fcb (2016-02-05 14:34:25 +09:00 版) https://github.com/w3c/svgwg/commit/6257fcb92ba52ca231d412a6b505b2c71650d215

[69] "With Credentials" flag possibly inconsistent with web architecture · Issue #76 · w3ctag/spec-reviews (2016-03-15 11:54:22 +09:00 版) https://github.com/w3ctag/spec-reviews/issues/76

[71] CORS and RFC1918 (2016-03-03 19:13:16 +09:00 版) https://mikewest.github.io/cors-rfc1918/

[72] Explain CORS protocol and credentials interaction ( (annevk著, 2016-05-05 19:34:15 +09:00)) https://github.com/whatwg/fetch/commit/c9e8db9d9075989fd2b91203f0247c52bac0ca27

[73] "With Credentials" flag possibly inconsistent with web architecture · Issue #76 · w3ctag/spec-reviews ( (2016-05-06 10:56:04 +09:00)) https://github.com/w3ctag/spec-reviews/issues/76

[74] Allow more wildcards in CORS when used without credentials ( (annevk著, 2016-05-24 18:42:09 +09:00)) https://github.com/whatwg/fetch/commit/cdbb13c08650b10c9ebfc54d046bec0639e7ba7c

[75] Redirect on preflighted CORS requests generally impossible · Issue #204 · whatwg/fetch ( (2016-05-25 13:13:45 +09:00)) https://github.com/whatwg/fetch/issues/204#issuecomment-184257430

[76] CO Redirect in the face of CORs may not be correct in specs · Issue #32 · w3c/beacon (2016-06-30 12:03:34 +09:00) https://github.com/w3c/beacon/issues/32