ローカルホストの開発環境で起動したサーバーに、リモートホストで動かしているWebアプリケーションをブラウザで開いて、リクエストを送ろうとしたらエラーが起きました。

Access to XMLHttpRequest at 'http://localhost:3000/projects/project1/docs/sourcedb/@ledsun/sourceid/1/annotations.json?_=1638234711026' from origin 'http://textae-test.pubannotation.org' has been blocked by CORS policy: The request client is not a secure context and the resource is in more-private address space `local`.

CORSっていうから、最初

qiita.com

みたいな話だと思いました。 Access-Control-Allow-Originヘッダーをつける的な対応は、大分昔にしたので、なんでだろ？と不思議でした。

stackoverflow.com

比較的、最近 「Private Network Access (formerly CORS-RFC1918) 」というものが出来て、リモートホストからローカルホストへのアクセスが出来なくなったんですね。 これCORSなのだろうか？まあCORSか・・・。

対策？

Access-Control-Request-Private-Networkを使えば、通るようにも出来るのでしょうか？ 下のサイトチラ見しただけで、詳しく調べていません。

• プライベートネットワークへのCSRFを緩和する仕様の提案 (CORS-RFC1918) - ASnoKaze blog
• Feedback wanted: CORS for private networks (RFC1918)
• Private Network Access