同一生成元ポリシーを安全に回避

AWSがAmazon S3でCORSをサポート

2012/09/03

 米Amazon Web Services(AWS)は8月31日(米国時間)、ユーザーから要望の多かった「Cross Origin Resource Sharing」(CORS)のサポートを発表した。

 Webブラウザは通常、「同一生成元ポリシー(Same Origin Policy)」を実装しており、あるドメインのサーバから読み込まれたスクリプトなどのアクティブコンテンツは原則として、別のドメインのWebサイトのコンテンツを参照できない仕組みになっている。CORSはWebアプリケーションがWebブラウザに対し、この相互作用を許可するよう指定できる仕組み。

 AWSのブログによると、CORSのサポートにより、JavaScriptやHTML5を使ってAmazon S3内のリソースに直接アクセスできるWebアプリケーションを、プロキシサーバを介さずに構築できるようになる。

 こうしたアプリケーションでは、例えばHTML5でドラッグ&ドロップによるAmazon S3へのアップロードが可能になり、アップロードの進行状況を表示したり、アプリケーションから直接コンテンツをアップデートすることも可能。

 別のドメインでホスティングされている外部のWebページやスタイルシート、HTML5アプリケーションは、S3バケットに保存されているWebフォントや画像などのアセットを参照できるようになり、こうしたアセットを複数のWebサイト間で共有することも可能になる。

 S3バケットのクロスドメインアクセスを設定するには、AWS Management ConsoleまたはS3 APIを利用してバケットにCORSルールを追加し、各ルールごとに自分のバケットへのアクセスを許すドメインを指定する。

(@IT 鈴木聖子)

情報をお寄せください:

HTML5 + UX フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

キャリアアップ

- PR -

注目のテーマ

ソリューションFLASH

「ITmedia マーケティング」新着記事

「ドメインリスト貸し」は何がマズい? サイトの評判の不正使用について解説
「サイトの評判の不正使用」について理解し、正しい対策が取れるにしましょう。

代理店にもAIにも「丸投げ」はダメ 成果報酬型マーケティングを成功させるポイントは?
「成果報酬型マーケティング」を実現する上でインターネット広告業界が直面する課題とは...

YouTubeやTikTokの利用時間、20代以下ではテレビを圧倒 どれだけ差がついた?
YouTubeやTikTokでのコンテンツ視聴は購買行動に関係しているのか。PRIZMAが10代から30代...