技術記録帖

調べて、整えて、残す

2026年4月4日

技術記録帖
技術記録帖 技術情報を、読み返しやすい形に整えて残す技術サイト
用語集 最終更新 2026.04.04

Access-Control-Allow-Origin

Access-Control-Allow-Origin は、どのオリジンからのアクセスを許可するかを示す CORS ヘッダーです。
ブラウザはこの値を見て、別オリジンの応答を読ませてよいか判断します。

まず押さえたいポイント

  • CORS の代表的なレスポンスヘッダー
  • 許可する Origin を示す
  • * で全部許可する形もある

どんな場面で使うか

  • API サーバーの CORS 設定
  • フロントエンドとバックエンドを別ドメインにした構成
  • ブラウザの CORS エラー確認

どんなふうに理解するとよいか

初心者向けには、このサイトからのアクセスなら読んでよい とブラウザへ伝える札のようなものと考えると分かりやすいです。

押さえておきたい注意点

認証情報を含む構成では、何でも * にすればよいわけではありません。
許可範囲を広げすぎると、あとで安全性や設計の整理が難しくなります。

実務で見るポイント

  • CORS でまず確認したいヘッダー
  • 開発中は動いても本番で抜けやすい
  • ミドルウェア任せでも中身は理解しておいた方がよい

この用語を読むときのコツ

Access-Control-Allow-Origin は単語だけ暗記するより、「どんな場面で出てくるか」「何と一緒に語られるか」をセットで押さえた方が理解しやすいです。記事や設定画面で見かけたら、何を決めるための用語なのかまで見ると意味がつながりやすくなります。

最初のうちは、このページだけで完結させようとしなくて大丈夫です。 下の関連用語や関連記事も一緒にたどると、Access-Control-Allow-Origin がどの文脈で使われる言葉なのかがかなり見えやすくなります。

あわせて見たい用語

CORS

CORS は、ブラウザが別オリジンへのリクエストをどう許可するかを決める仕組みです。

 Origin

Origin は、スキーム・ホスト・ポートの組み合わせで表されるWeb上の識別単位です。

 API

API は、ソフトウェア同士が機能やデータをやり取りするための窓口です。