Canvas要素とCORS設定　#436

S3からCloudfrontで動画を配信してアプリケーションで再生する場合、単に再生するだけならCORSの設定は不要なのに、動画データをCanvas要素に描画する（プログラム的に実行するスクショ等）にはCORSの設定が必要でした。

この違いがよく分かっていなかったので整理してみました。

CORSとは何か？

CORS（Cross-Origin Resource Sharing）は、ウェブページのオリジン（スキーマ、ホスト、ポート）が異なる別のオリジンからリソースを安全に取得できるようにするための機構です。

ブラウザの同一オリジンポリシーにより、スクリプトが異なるオリジンからのリソースにアクセスすることは制限されていますが、CORSはこの制限を特定の条件下で緩和します。

なぜ動画の再生だけなら問題ないのか？

一般に、ブラウザでの動画や画像のようなメディアリソースの読み込みと再生は、同一オリジンポリシーの厳格な制限を受けません。つまり、あるオリジンのウェブページから別のオリジンにホストされた動画を直接 <video> タグで読み込んで再生できます。

<video>
    <source [src]="videoUrl" type="video/mp4" />
</video>

なぜCanvasでの描画で問題が発生するのか？

しかし、Canvas要素に画像や動画を描画する場合、セキュリティの制約が発生します。

Canvas要素に異なるオリジンからのリソースを描画すると、Canvasは「汚染」されたとみなされます。汚染されたCanvasからは、スクリプトを使ってピクセルデータを読み出すことができません（例：toDataURL や toBlob メソッドの使用）。

これはクロスサイトスクリプティング（XSS）攻撃を防ぐためのセキュリティ対策によるものです。

どうしたらCanvasに描画できるようになるか？

結論としては以下2つの対応が必要です。

• クライアントサイド（HTML）：外部リソースをフェッチする際のCORSポリシーの適用を設定

• サーバーサイド：CORSを設定する

なぜクライアントサイドの設定が必要か？

ここではHTMLのvideoタグにcrossorigin="anonymous" 属性を付与する必要があります。

この属性は、HTML要素（<video>, <img>, <script> など）が外部のリソースを読み込む際のCORSポリシーを制御し、外部のリソースをクレデンシャル（例: クッキーやHTTP認証情報）なしで取得することを指示します。

<video crossorigin="anonymous">
    <source [src]="videoUrl" type="video/mp4" />
</video>

しかしCanvasに描画された外部リソースからのデータを安全に読み出すためには、そのリソースがCORSポリシーに準拠している必要があります。↓

なぜサーバーサイドのCORS設定が必要か？

サーバーサイド（例: S3やCloudFront、ウェブサーバー）でのCORS設定は、外部ドメインからのリクエストをどのように扱うかを定義します。

今回のケースでは、サーバーサイドにあたるS3バケットとCloudFrontディストリビューションにCORS設定を施します。以下のヘッダーなどです。

• Access-Control-Allow-Origin：許可されるオリジン

• Access-Control-Allow-Methods：許可されるHTTPメソッド

• Access-Control-Allow-Headers：許可されるヘッダー

これらのヘッダーは、外部ドメインからのリクエストが受け入れられるかどうか、またどのような条件で受け入れられるかをブラウザに伝えます。

ここで異なるオリジンからのリソース（この場合、S3からホストされた動画）に Access-Control-Allow-Originが含まれる場合、そのリソースはCORSポリシーに従って安全に使用できるとみなされます。

このようにして異なるオリジンからの動画をCanvasに描画してもCanvasが汚染されないようにし、Canvasの内容を安全に操作できるようになります。

なぜ両方の設定が必要か？

HTML要素で crossorigin="anonymous" を設定しても、対象のリソースを提供するサーバーが適切なCORSヘッダーを含めていない場合、ブラウザはそのリソースの利用をブロックします（特にセキュリティに敏感な操作、例えばCanvasでのピクセルデータの読み出しの際）。

逆に、サーバーがCORSヘッダーを提供していても、HTML要素が適切な crossorigin 属性を持っていない場合、ブラウザはリソースの使用を制限する場合があります。

したがって、外部リソースを安全に利用するためには、HTML文書内での crossorigin 属性の設定と、サーバーサイドでのCORSポリシーの設定の両方が重要です。

ついでに

HTML上の動画がダウンロードされるのを防ぐために以下の設定が可能です。

controlsList="nodownload"属性でダウンロードを無効化
oncontextmenu="return false;"で右クリックでの操作を無効化

<video
  controls
  controlsList="nodownload"
  crossorigin="anonymous"
  oncontextmenu="return false;"
>
    <source [src]="videoUrl" type="video/mp4" />
</video>

ここまでお読みいただきありがとうございました！

参考

CORS の設定 - Amazon Simple Storage Service

静的ファイル配信システムをCloudFront＋S3の構成に移行したときCORSエラーにハマったお話 - デザインワン・ジャパン Tech Blog

[update] Amazon CloudFrontでCORS access-control headersにワイルドカードを使ったポート指定ができるようになっていました！ | DevelopersIO

S3に動画(mp4)、字幕(vtt)を配置して、CloudFront経由でクロスドメインで字幕付き動画を配信する | yusuke.blog

Amazon S3のCORSルールをterraformで設定 - kidooom's Scrapbox

CloudFrontでCORS設定をするための3つのポリシーについて