同一生成元ポリシーを安全に回避

AWSがAmazon S3でCORSをサポート

2012/09/03

　米Amazon Web Services（AWS）は8月31日（米国時間）、ユーザーから要望の多かった「Cross Origin Resource Sharing」（CORS）のサポートを発表した。

　Webブラウザは通常、「同一生成元ポリシー（Same Origin Policy）」を実装しており、あるドメインのサーバから読み込まれたスクリプトなどのアクティブコンテンツは原則として、別のドメインのWebサイトのコンテンツを参照できない仕組みになっている。CORSはWebアプリケーションがWebブラウザに対し、この相互作用を許可するよう指定できる仕組み。

　AWSのブログによると、CORSのサポートにより、JavaScriptやHTML5を使ってAmazon S3内のリソースに直接アクセスできるWebアプリケーションを、プロキシサーバを介さずに構築できるようになる。

　こうしたアプリケーションでは、例えばHTML5でドラッグ＆ドロップによるAmazon S3へのアップロードが可能になり、アップロードの進行状況を表示したり、アプリケーションから直接コンテンツをアップデートすることも可能。

　別のドメインでホスティングされている外部のWebページやスタイルシート、HTML5アプリケーションは、S3バケットに保存されているWebフォントや画像などのアセットを参照できるようになり、こうしたアセットを複数のWebサイト間で共有することも可能になる。

　S3バケットのクロスドメインアクセスを設定するには、AWS Management ConsoleまたはS3 APIを利用してバケットにCORSルールを追加し、各ルールごとに自分のバケットへのアクセスを許すドメインを指定する。