engineer.notes

try / verify / log

2026.05.20

engineer.notes
engineer.notes // programming, servers, networks, security, AI — engineer's working notes, indexed for later lookup.
検索
用語集 最終更新 2026.05.15

Same-Origin Policy

Same-Origin Policy は、別オリジンの情報をブラウザ上で自由に読めないようにする基本制約です。
CORS は、この制約を前提に必要な通信だけ許可する仕組みです。

まず押さえたいポイント

  • ブラウザのセキュリティの基本ルール
  • オリジンの応答を無条件で読ませない
  • CORS はこの制約を一部調整する仕組み

どんな場面で使うか

  • なぜ CORS が必要なのか理解するとき
  • ブラウザだけ失敗する理由を説明するとき
  • フロントエンドAPI を分ける構成を見るとき

どんなふうに理解するとよいか

初心者向けには、別サイトの情報を勝手に盗み見されにくくするための壁 と考えると入りやすいです。
その壁があるからこそ、必要な通信だけ明示的に許可する CORS が必要になります。

押さえておきたい注意点

この制約があるからといって、サーバー側認可や認証が不要になるわけではありません。
ブラウザの制約とアプリ側のセキュリティは別で考える必要があります。

実務で見るポイント

  • CORS の背景理解にかなり大事
  • ブラウザでだけ失敗する理由の説明に使える
  • API 設計やフロント分離構成の前提になる

あわせて見たい用語

CORS

CORS は、ブラウザが別オリジンへのリクエストをどう許可するかを決める仕組みです。

 Origin

Origin は、スキーム・ホスト・ポートの組み合わせで表されるWeb上の識別単位です。

 フロントエンド

フロントエンドは、Webアプリやサイトで利用者が直接見る画面や操作部分を作る領域です。

 API

API は、ソフトウェア同士が機能やデータをやり取りするための窓口です。

 オリジンサーバー

オリジンサーバーは、元のデータやファイルを持っている本体側のサーバーです。

 認可

認可は、ログイン後にそのユーザーやシステムが何にアクセスできて、どの操作をしてよいかを決める仕組みです。