このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docsコミュニティーについてもっと知り、仲間になるにはこちらから。
Origin
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since 2020年7月.
Origin リクエストヘッダーは、リクエストが発生したオリジン(スキーム、ホスト名、ポート番号)を示します。例えば、ユーザーエージェントがページに含まれるリソース、または実行するスクリプトによってフェッチされるリソースをリクエストする必要がある場合、ページのオリジンがそのリクエストに含まれることがあります。
| ヘッダー種別 | リクエストヘッダー |
|---|---|
| 禁止リクエストヘッダー | はい |
構文
Origin: nullOrigin: <scheme>://<hostname>Origin: <scheme>://<hostname>:<port>ディレクティブ
nullオリジンが「プライバシーに配慮した」ものであるか、HTML仕様で定義された不透明なオリジンである(具体的な事例は解説の節に掲載されています)。
<scheme>使用されるプロトコル。通常、 HTTP プロトコルまたはそのセキュアバージョンである HTTPS です。
<hostname>サーバーのドメイン名 (仮想ホスティングの場合) または IP アドレス。
<port>省略可サーバーが待ち受けしている TCP ポート番号。ポート番号が指定されていない場合、リクエストされたサービスの既定のポート番号(HTTP URL の場合は "80" など)が暗黙的に指定されます。
解説
Origin ヘッダーはReferer ヘッダーと似ていますが、パス全体が公開されるわけではなく、null になることがある点が異なります。これは、オリジン情報が機密または不要となる場合を除き、オリジンリクエストの「セキュリティコンテキスト」を提供するために使用されます。
大まかに言うと、ユーザーエージェントがOrigin リクエストヘッダーを追加するのは以下のものです。
- オリジン間リクエスト
- 同一オリジンリクエスト、ただし
GETまたはHEADリクエストを除く(すなわち、同一オリジンのPOST,OPTIONS,PUT,PATCH,DELETEの各リクエストに追加される。)
上記のルールにはいくつかの例外があります。例えば、オリジンを跨ぐGET またはHEAD リクエストがCORS モード外で行われた場合、Origin ヘッダーは追加されません。
Origin ヘッダー値は様々な場合にnull になることがあります(網羅的ではない)。
- スキームが
http,https,ftp,ws,wss,gopherのいずれでもないオリジン(blob,file,dataを含む)。 - 別オリジンの画像やメディアデータ(
<img>,<video>,<audio>要素の場合も含む)。 createDocument()を使用してプログラム的に作成された文書、data:URL から生成された文書、または作成者の閲覧コンテキストを持たない文書。- オリジン間のリダイレクト。
- iframeのサンドボックス属性が値
allow-same-originを含んでいない場合。 - ネットワークエラーとなったレスポンス。
Referrer-Policyがno-referrerに設定され、cors以外のリクエストモードが設定された場合(単純な形式の投稿など)。
メモ:null を返す可能性のあるケースについて、より詳しいリストが Stack Overflow のWhen do browsers send the Origin header? When do browsers set the origin to null? に掲載されています。
例
Origin: https://developer.mozilla.orgOrigin: https://developer.mozilla.org:80仕様書
| Specification |
|---|
| The Web Origin Concept # section-7 |
| Fetch # origin-header |