CORS系ツールの使い分け

CORSはエラーメッセージとヘッダーの対応関係を先に押さえると、原因に最短で到達できます。

最初の1本（症状ベース）

• ブラウザにCORSエラーが出た → CORS Error Troubleshooting
• ヘッダー全体の整合を見たい → CORS Diagnostic
• Allow-* の値を精査したい → CORS Response Inspect
• 許可Originの境界条件を確認したい → Origin Allowlist Check

実務フロー（推奨）

1. 1) エラー文から症状を特定し、Error Troubleshooting で分岐する
2. 2) CORS Diagnostic で Request/Response の整合性を確認する
3. 3) Response Inspect で ACAO/ACAC/Allow-Headers/Allow-Methods を確定する
4. 4) Origin Allowlist / Checklist で再発防止の設定に落とし込む

エラー文と確認対象の対応

• No Access-Control-Allow-Origin: 応答ヘッダー欠落、またはOrigin不一致
• CORS preflight channel did not succeed: OPTIONS処理経路の失敗
• Credential is not supported if ACAO is *: credentials設定競合
• Request header field X is not allowed: Allow-Headers不足

調査時の採取セット

• 失敗したブラウザコンソールのエラー全文
• preflight OPTIONS の request/response headers
• 実リクエスト（GET/POST等）の request/response headers
• Origin・Host・Authority の実測値

Preflightで最低限確認する項目

• OPTIONS が 2xx で返ること（3xx/4xx/5xxを避ける）
• Access-Control-Allow-Origin が要求Originと一致すること
• Access-Control-Allow-Methods が実メソッドを含むこと
• Access-Control-Allow-Headers が実要求ヘッダーを含むこと
• 動的許可時は Vary: Origin を付与すること

比較対象ツール

• CORS Error Troubleshooting
• CORS Diagnostic
• CORS Response Inspect
• Origin Allowlist Check
• CORS Checklist
• Host/Authority/Origin Inspect

よくあるケース

• No Access-Control-Allow-Origin: 応答経路でヘッダー欠落
• Preflight failed: OPTIONS 応答不足（Allow-* 未設定）
• Credentials conflict: ACAO=* と credentials=true の併用

よくある誤り

• APIが通るかを curl だけで判断してしまう
• 動的Origin反映で Vary: Origin を付け忘れる
• PreflightのOPTIONSを認可ミドルウェアで落としてしまう

Allowlist設計の実務ポイント

• ワイルドカードではなく、環境別の明示Originを管理する
• scheme（http/https）と port を条件に含める
• 追加許可には期限と理由を記録する
• 開発Originの本番混入をCIで検出する

修正後の再確認

• 主要ブラウザ（Chrome/Safari/Firefox）で同一シナリオ再試験
• credentials有無の両ケースを確認
• キャッシュ経由時に Vary: Origin が効いているか確認
• CORS失敗率を監視指標として継続観測

FAQ

CORS Error Troubleshooting と CORS Diagnostic はどう使い分けますか？

エラー文から入口を決めるなら Troubleshooting、request/response ヘッダーの整合確認は Diagnostic を使います。

Origin Allowlist Check はいつ使うべきですか？

Allow-* の値が正しくても失敗する場合に、Origin 条件式や境界条件の誤り確認に使います。

参照仕様

• MDN: CORS
• Fetch Standard