Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 224

CORS の設定不備

CORS の設定不備 とは何ですか?

CORS の設定不備信頼できないオリジンが認証済みレスポンスを読み取れてしまう CORS 設定不備。Origin を反射し、Access-Control-Allow-Credentials: true を返す例が典型的。

CORS の設定不備は、サーバがクロスオリジンリソース共有を実装する際に、同一オリジンポリシーを実質的に無効化してしまう問題です。よくある誤りとして、任意の Origin を Access-Control-Allow-Origin に反射する、'null' オリジンを許可する、ワイルドカードでサブドメインを許可する、Allow-Origin: * と Allow-Credentials: true を併用する、といった構成があります。攻撃者は認証済みクロスオリジン要求を発行するページを用意し、レスポンスが読めるためセッショントークン、アカウント情報、API レスポンスを窃取できます。対策には厳格なオリジン許可リスト、Origin 反射の禁止、認証情報とワイルドカードの併用回避が含まれます。

  1. 01

    Origin が attacker.com の場合に Access-Control-Allow-Origin: https://attacker.com を返してしまう。

  2. 02

    API が Access-Control-Allow-Origin: null を許可し、サンドボックス iframe から悪用できる。

よくある質問

CORS の設定不備 とは何ですか?

信頼できないオリジンが認証済みレスポンスを読み取れてしまう CORS 設定不備。Origin を反射し、Access-Control-Allow-Credentials: true を返す例が典型的。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

CORS の設定不備 とはどういう意味ですか?

信頼できないオリジンが認証済みレスポンスを読み取れてしまう CORS 設定不備。Origin を反射し、Access-Control-Allow-Credentials: true を返す例が典型的。

CORS の設定不備 はどのように機能しますか?

CORS の設定不備は、サーバがクロスオリジンリソース共有を実装する際に、同一オリジンポリシーを実質的に無効化してしまう問題です。よくある誤りとして、任意の Origin を Access-Control-Allow-Origin に反射する、'null' オリジンを許可する、ワイルドカードでサブドメインを許可する、Allow-Origin: * と Allow-Credentials: true を併用する、といった構成があります。攻撃者は認証済みクロスオリジン要求を発行するページを用意し、レスポンスが読めるためセッショントークン、アカウント情報、API レスポンスを窃取できます。対策には厳格なオリジン許可リスト、Origin 反射の禁止、認証情報とワイルドカードの併用回避が含まれます。

CORS の設定不備 からどのように防御しますか?

CORS の設定不備 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

CORS の設定不備 の別名は何ですか?

一般的な別名: 緩い CORS。

関連用語

関連項目