技術記録帖

調べて、整えて、残す

2026年4月4日

技術記録帖
技術記録帖 技術情報を、読み返しやすい形に整えて残す技術サイト
用語集 最終更新 2026.04.04

Same-Origin Policy

Same-Origin Policy は、別オリジンの情報をブラウザ上で自由に読めないようにする基本制約です。
CORS は、この制約を前提に必要な通信だけ許可する仕組みです。

まず押さえたいポイント

  • ブラウザのセキュリティの基本ルール
  • オリジンの応答を無条件で読ませない
  • CORS はこの制約を一部調整する仕組み

どんな場面で使うか

  • なぜ CORS が必要なのか理解するとき
  • ブラウザだけ失敗する理由を説明するとき
  • フロントエンドと API を分ける構成を見るとき

どんなふうに理解するとよいか

初心者向けには、別サイトの情報を勝手に盗み見されにくくするための壁 と考えると入りやすいです。
その壁があるからこそ、必要な通信だけ明示的に許可する CORS が必要になります。

押さえておきたい注意点

この制約があるからといって、サーバー側の認可や認証が不要になるわけではありません。
ブラウザの制約とアプリ側のセキュリティは別で考える必要があります。

実務で見るポイント

  • CORS の背景理解にかなり大事
  • ブラウザでだけ失敗する理由の説明に使える
  • API 設計やフロント分離構成の前提になる

この用語を読むときのコツ

Same-Origin Policy は単語だけ暗記するより、「どんな場面で出てくるか」「何と一緒に語られるか」をセットで押さえた方が理解しやすいです。記事や設定画面で見かけたら、何を決めるための用語なのかまで見ると意味がつながりやすくなります。

最初のうちは、このページだけで完結させようとしなくて大丈夫です。 下の関連用語や関連記事も一緒にたどると、Same-Origin Policy がどの文脈で使われる言葉なのかがかなり見えやすくなります。

あわせて見たい用語

CORS

CORS は、ブラウザが別オリジンへのリクエストをどう許可するかを決める仕組みです。

 Origin

Origin は、スキーム・ホスト・ポートの組み合わせで表されるWeb上の識別単位です。

 API

API は、ソフトウェア同士が機能やデータをやり取りするための窓口です。