新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe
機能

CORSポリシールール

APIチームをブラウザのCORSエラーから解放 — 単一のルールからプリフライトとレスポンスヘッダーを管理します。

TR7 CORSポリシールールは、クロスオリジンAPIアクセスに必要なCORSヘッダーを、アプリケーションコードに触れることなくADC層で管理します。Originアローリスト、許可されたメソッド、許可されたヘッダー、credentials動作、プリフライトキャッシュ期間はすべて単一のポリシー内で定義できます。 このアプローチにより、フロントエンドとAPIチームがサービスごとに個別のCORSコードを書くことを防ぎます。アプリケーションがレスポンスを生成し、TR7がブラウザが期待するCORSヘッダーを中央ポリシーとして追加し、プリフライトリクエストに適切に応答し、実際のレスポンス側で必要なヘッダーを補完します。 ポリシーはvService、host、path、または異なるトラフィック条件ごとに適用できます。つまり、パブリックAPI、管理API、パートナーAPI、内部APIが同じデバイス上で異なるCORS動作で動作できます。 結果として、TR7はCORS管理をアプリケーションフレームワーク設定から取り除き、APIセキュリティとアプリケーション配信層での一元化された監査可能で再利用可能なルールに変換します。

5
設定可能なCORSパラメータ:Origin、Methods、Headers、Credentials、Max-Age
2
管理されるリクエストタイプ:OPTIONSプリフライトと実際のレスポンス
1
中央ルール — すべてのvServiceとpathで一貫したCORSポリシー

CORSをアプリケーションコードに委ねると、すべてのAPIが個別のブラウザ互換性問題になります。

現代のウェブアプリケーションは通常、異なるドメイン、サブドメイン、またはポートで動作するAPIにアクセスします。ブラウザはCORSポリシーを通じてこのアクセスを制限します。APIが正しいAccess-Control-Allow-*ヘッダーを返さない場合、サーバー側で正常に実行されてもリクエストはブラウザによってブロックされます。結果はユーザーにとって壊れたアプリケーション、チームにとって診断が困難なCORSエラーです。

多くの組織では、この問題はアプリケーションチームに分散されます。各サービスはそれぞれのフレームワーク設定内でOrigin、Method、Header、Credentials、Max-Age動作を個別に定義します。サービス数が増えるにつれて、同じCORSポリシーが異なるアプリケーションで異なる形で書かれることが避けられなくなります。

不正なCORS設定はセキュリティリスクも生み出します。開発中にクイックフィックスとしてワイルドカードOriginが開かれ、credentialsと共に広すぎる権限が付与されたり、プリフライト動作が不完全なままにされたりします。そのような設定が本番環境に到達すると、APIサーフェスが不必要に露出されます。

正しいアプローチは、CORSポリシーを中央レスポンス/リクエストルールとして管理することです。Originアローリスト、credentials、許可されたメソッド、許可されたヘッダー、プリフライトキャッシュはすべて一か所で定義され、アプリケーションコードに分散されるべきではありません。

TR7 CORSポリシールールはこのモデルを提供します:vServiceまたはパスレベルで、単一のアクションからプリフライトと実際のレスポンスCORSヘッダーを管理可能にします。

アプローチ

TR7 CORSポリシーは、Origin検証、プリフライト管理、レスポンスヘッダー、条件付き適用ロジックを単一のルールの下に統合します。

Originアローリストが許可されたソースのみを受け入れる

TR7は受信したOrigin値を定義されたアローリストと比較できます。リストには固定ドメインまたはより柔軟なregexベースのマッチが含まれます。

プリフライトリクエストがアプリケーションに負荷をかけずに応答される

TR7はOPTIONSプリフライトリクエストに必要なCORSヘッダーを生成できます。これによりアプリケーションは実際のAPIリクエストのみに集中できます。

実際のレスポンスヘッダーがブラウザの期待に合わせて補完される

Access-Control-Allow-Origin、Allow-Methods、Allow-Headers、Allow-Credentials、Max-Ageなどのヘッダーが中央ポリシーを通じて追加されます。ブラウザの互換性がアプリケーションコードから独立します。

vServiceごとおよびpathごとのポリシーで異なるAPIを分離する

同じデバイス上の異なるAPIサーフェスが異なるCORS動作で動作できます。パブリックAPIはより広く、パートナーAPIはより狭く、内部APIは独自のアローリストで管理できます。

機能

CORSポリシールールは、単一のアクションからプリフライトと実際のレスポンス管理を提供することで、API公開プロセスを簡素化します。

単一のルールがプリフライトと実際のレスポンスCORSヘッダーを一緒に管理する

TR7 CORSアクションはOPTIONSプリフライトリクエストと実際のAPIレスポンスヘッダーの両方を同じポリシーの下で処理できます。これによりアプリケーションチームがプリフライトと実際のレスポンス動作を個別にコーディングすることを防ぎます。ポリシーは一度定義され、関連するvServiceまたはpathに適用されます。オペレーションはCORS動作を一元管理できます。

Originアローリストが信頼できるフロントエンドソースのみを許可する

CORSポリシーで許可されたOrigin値を明示的に定義できます。このリストは特定のドメイン、サブドメインパターン、またはregexベースのマッチで構成できます。ワイルドカードの使用を強いられることなく信頼できるフロントエンドアプリケーションへのアクセスが付与されます。不要なソースにAPIサーフェスを不必要に露出することなくブラウザアクセスが提供されます。

Regexサポートのorinマッチングがマルチサブドメイン構造を簡素化する

組織は顧客、テナント、または環境に基づくサブドメイン構造を頻繁に使用します。Regexベースのoriginマッチングにより、各サブドメインを個別に記述することなくコントロールされた許可ポリシーを確立できます。例えば、特定のドメインツリー下のテナントフロントエンドを受け入れることができます。この柔軟性によりワイルドカードを開かずにスケーラブルなCORS管理が可能です。

credentialsトグルがクッキーとauthヘッダーの使用を制御された方法で有効にする

Access-Control-Allow-Credentials動作は一元的にオン/オフできます。この設定はクッキーまたはAuthorizationヘッダーで動作するフロントエンドにとって重要です。credentialsが有効な場合、Originアローリストは狭く保つ必要があります。TR7はこの動作を分散したアプリケーションチームの設定から単一のポリシーポイントに移動させます。

許可されたメソッドリストがブラウザレベルでAPIサーフェスを制限する

GET、POST、PUT、PATCH、DELETE、OPTIONSなどのメソッドをポリシー内で定義できます。ブラウザはプリフライト中に許可されたメソッドのみを受け入れます。これによりAPIがクライアント側にどの操作タイプを公開しているかが明確になります。セキュリティと開発者エクスペリエンスが同じリストから管理されます。

許可されたヘッダーリストがカスタムヘッダーの使用を制御する

Authorization、Content-Type、X-Request-ID、またはカスタムアプリケーションヘッダーをアローリストで定義できます。ブラウザはプリフライトリクエスト中にこれらのヘッダーを使用できるかどうかを確認します。ヘッダー権限が不足するとフロントエンドエラーになり、広すぎるヘッダー権限は不必要なサーフェスの露出を引き起こします。TR7はこのバランスを一元管理します。

プリフライトmax-ageキャッシングがブラウザリクエスト負荷を削減する

Access-Control-Max-Age値はブラウザがプリフライト結果をキャッシュする期間を制御します。適切なmax-age値は頻繁なAPIコールのOPTIONSトラフィックを削減します。短すぎる値は不必要なプリフライトオーバーヘッドを引き起こし、長すぎる値はポリシー変更の反映が遅れることを意味します。TR7はこの設定をサービスニーズごとに設定可能にします。

vServiceごとの適用により各APIに個別のCORS標準が提供される

各vServiceは独自のCORSポリシーを持つことができます。パブリックAPI、パートナーAPI、管理API、内部APIは異なるoriginおよびメソッドリストで動作できます。このモデルにより単一のグローバルCORS設定がすべてのAPIに広く適用されることを防ぎます。オペレーターはサービスごとにセキュリティ境界を設定します。

pathごとの適用により同じサービス内で異なるエンドポイント動作が可能

同じvService内の異なるpathに異なるCORSポリシーを適用できます。例えば、`/public/api`はより広いoriginリストで動作し、`/admin/api`は特定の管理フロントエンドのみで動作できます。これによりAPIサーフェスをエンドポイントレベルで分離します。アプリケーションコードに複雑なCORSのif-blockを書く必要がなくなります。

トラフィックルールエンジンで条件付きCORS動作を確立できる

CORSアクションはトラフィックルールエンジンの一部として使用できます。host、path、ヘッダー、メソッド、その他の条件に基づいてCORSヘッダーを適用できます。これにより多くの異なる公開モデルを単一のデバイスで管理できます。CORSポリシーは静的な設定ではなく、コンテキスト認識型のトラフィックルールになります。

アプリケーションフレームワーク依存なしにCORS標準が適用される

CORS動作がアプリケーションフレームワークに分散されると、各言語とサービスが異なる設定ロジックを必要とします。TR7はこの動作をADC層に移動し、アプリケーション依存性を削減します。アプリケーションチームはAPIビジネスロジックのみに集中でき、CORS標準は一元的に維持されます。レガシーとモダンなサービスを同じポリシーモデルで公開できます。

監査と一元化された変更管理によりCORSリスクが低減される

CORSポリシーが中央設定内で変更されると、監査とロールバックプロセスに含めることができます。誰がどのOrigin、どのメソッド、またはどのcredentials動作を開いたかという質問を追跡できます。これはセキュリティレビュー中に特に重要です。分散したアプリケーション設定の代わりに監査可能なCORS管理が提供されます。

運用上の深度

CORSポリシールールは、Originマッチング、credentials動作、プリフライトレスポンス、max-ageバランス、pathスコープ、監査可視性と合わせて運用されます。

01

Originマッチング

受信したOrigin値はアローリストまたはregexルールと比較できます。マッチがない場合、CORSヘッダーが追加されない場合や、ポリシーの要件に応じて拒否動作が適用される場合があります。ワイルドカードではなく明示的なリストの使用が推奨されます。

02

credentials動作

credentialsがアクティブな場合、クッキーやauthヘッダーなどの認証情報をクロスオリジンリクエストで使用できます。このモードではOriginポリシーが狭く明確であることが重要です。credentialsとワイルドカードOriginを組み合わせることは安全な前提ではありません。

03

プリフライトレスポンス

OPTIONSリクエストはブラウザがメソッドとヘッダーの権限を確認するために送信されます。TR7は必要なAllow-*ヘッダーを生成することでプリフライトレスポンスを一元管理できます。これによりバックエンドサービスが不必要なOPTIONS負荷から解放されます。

04

max-ageバランス

プリフライトキャッシュ期間はパフォーマンスとポリシーの新鮮さのバランスを必要とします。長い期間はOPTIONSリクエストを減らしますが、ブラウザキャッシュのためCORS変更の反映が遅くなる場合があります。重要なAPIではこの値を慎重に選択すべきです。

05

pathスコープ

CORSポリシーは特定のpathまたはhost条件にバインドできます。これにより同じvService内の異なるAPIサーフェスに異なるCORS動作を適用できます。管理エンドポイントとパブリックエンドポイントは同じ権限を共有する必要はありません。

06

監査レコード

CORSポリシーの変更は中央設定と監査プロセスで追跡できます。Originリストまたはcredentials動作への変更はセキュリティ上重要と見なされるべきです。変更履歴はロールバックとコンプライアンスの目的に価値があります。

利用シナリオ

アプリケーションコードに触れずにフロントエンドAPIのCORSエラーを解決する

フロントエンドアプリケーションが異なるドメインのAPIにアクセスするとブラウザがCORSエラーを受け取る場合。TR7で正しいOrigin、メソッド、ヘッダーポリシーを追加することで問題を一元的に解決します。

マルチテナントサブドメイン構造のためのregex originポリシー

SaaS環境では、各テナントが専用サブドメインで独自のフロントエンドを実行することがあります。Regexサポートのアローリストにより、テナントドメインツリー全体を制御された方法で受け入れます。

パートナーAPIアクセスのための狭いoriginとヘッダーリスト

パートナーアプリケーションは特定のOriginとAuthorizationヘッダーでのみAPIにアクセスできます。TR7 CORSルールはこれらの権限を一元的に定義し、不必要なヘッダーとメソッドサーフェスを閉じます。

クッキーベースのSSOフローでcredentials動作を管理する

SSOまたはフェデレーションフローではクロスオリジンクッキーが必要な場合があります。TR7はcredentialsトグルと狭いOriginリストでこの動作を制御下に置きます。

パブリックと管理APIパスに異なるCORSを適用する

同じvService内で、パブリックエンドポイントはより広く、管理エンドポイントはより狭いCORSポリシーで動作できます。この分離はアプリケーションコードに書き込まれることなくトラフィックルールを通じて適用されます。

よくある質問

TR7 CORSルールはプリフライトリクエストをどのように管理しますか?
TR7は中央CORSポリシーからOPTIONSプリフライトリクエストに必要なAccess-Control-Allow-Methods、Access-Control-Allow-Headers、Access-Control-Max-Ageヘッダーを生成できます。これによりバックエンドサービスはプリフライトのオーバーヘッドで煩わされることなく、実際のAPIリクエストのみに集中できます。
Originアローリストはワイルドカードの使用を強制しますか?
いいえ。TR7 CORSポリシーは許可されたOrigin値を明示的なリストまたはregexルールを通じて定義することをサポートします。ワイルドカードを使用することなく信頼できるフロントエンドソースへのアクセスを付与でき、APIサーフェスを不必要に露出させずにブラウザ互換性を提供します。
credentials動作を有効にすることは安全ですか?
credentialsがアクティブな場合、クッキーとAuthorizationヘッダーをクロスオリジンリクエストで使用できます。このモードではOriginアローリストが狭く明確であることが重要です;credentialsと共にワイルドカードOriginを使用することは安全な設定ではありません。TR7は両方の設定を単一の中央ポリシーポイントで一緒に管理します。
同じデバイス上の異なるAPIに異なるCORSポリシーを適用できますか?
はい。CORSポリシーはvServiceまたはpathごとに独立して定義できます。パブリックAPI、パートナーAPI、管理API、内部APIはすべて同じデバイス上で異なるOriginリスト、異なるメソッド権限、異なるcredentials動作で動作できます。
Max-Age値はどのように設定すべきですか?
適切なMax-Ageは頻繁なAPIコールのOPTIONSトラフィックを削減しますが、長すぎる値はブラウザキャッシュのためCORSポリシーの変更の反映が遅くなる場合があります。重要または頻繁に更新されるAPIにはより短い値が好ましいです。TR7はこのパラメータをサービスニーズごとに設定可能にします。
CORSポリシーはアプリケーションフレームワークに依存していますか?
いいえ。TR7 CORSポリシールールはADC層で動作し、アプリケーションの言語またはフレームワークから独立しています。レガシーサービスを含むすべてのAPIを同じ中央CORSポリシーの下で公開できます。アプリケーションチームはフレームワーク設定に触れることなくCORSコンプライアンスを達成できます。

CORS管理をアプリケーションコードから取り除く

プリフライト、レスポンスヘッダー、Originアローリスト、credentials動作を単一のADCルールから管理します。お客様自身のサービスでライブ設定を一緒に確認しましょう。