CORS (Cross-Origin Resource Sharing) とは、Web ブラウザが異なるオリジン (プロトコル + ドメイン + ポートの組み合わせ) 間でのリソース共有を制御するセキュリティ機構です。同一オリジンポリシー (Same-Origin Policy) の制約を安全に緩和するための仕組みとして、W3C で標準化されています。
CORS が必要になる典型的なケースは、フロントエンドアプリケーション (example.com) から API サーバー (api.example.com) へのリクエストです。オリジンが異なるため、サーバー側で適切な CORS ヘッダー (Access-Control-Allow-Origin など) を返さないと、ブラウザがレスポンスをブロックします。<% if (typeof amazonTag !== 'undefined' && amazonTag) { %><a href="https://www.amazon.co.jp/s?k=CORS%20Web%20セキュリティ&tag=<%= amazonTag %>" target="_blank" rel="nofollow noopener noreferrer" class="amazon-inline-link">Amazon の関連書籍</a><% } else { %>Amazon の関連書籍<% } %>も参考になります。
短縮 URL サービスの API を外部から呼び出す場合、CORS の設定が必要です。API Gateway や Lambda で CORS ヘッダーを適切に設定し、許可するオリジンを明示的に指定します。ワイルドカード (*) の使用は、認証が不要な公開 API に限定すべきです。
CORS のプリフライトリクエスト (OPTIONS メソッド) は、実際のリクエストの前にブラウザが自動的に送信する確認リクエストです。サーバー側でプリフライトリクエストに正しく応答する設定が必要です。<% if (typeof amazonTag !== 'undefined' && amazonTag) { %><a href="https://www.amazon.co.jp/s?k=API%20セキュリティ%20設計&tag=<%= amazonTag %>" target="_blank" rel="nofollow noopener noreferrer" class="amazon-inline-link">API セキュリティ設計の実践書</a><% } else { %>API セキュリティ設計の実践書<% } %>も役立ちます。