CORS (Cross-Origin Resource Sharing) 23.1
Cross-Origin Resource Sharing (クロスオリジンリソース共有) は、Web サーバーのリソースへのアクセスを、異なるオリジンのドメインからのブラウザーアプリケーションに許可するための手法を定義するブラウザー技術の仕様です。このようなアクセスは通常、同一オリジンポリシー によって禁止されています。CORS は、クロスオリジンリクエストを許可するかどうかを決定するためにブラウザーとサーバーが対話する方法を定義します。これは柔軟性をより高めるための妥協的な方策ですが、単にそのようなリクエストをすべて許可する場合よりはセキュアです。
CORS 標準は、サーバーが許可されたオリジンのドメインにリソースアクセスを許可できる新しい HTTP ヘッダーを追加することによって機能します。ブラウザーがこのヘッダーをサポートし、規定された制限を強制します。さらに、ユーザーデータに副作用を引き起こす可能性のある HTTP リクエストメソッド (とくに、GET 以外の HTTP メソッド、あるいは POST を特定の MIME タイプと使用する場合) においては、ブラウザーは、リクエストを "プリフライト" し、HTTP の OPTIONS リクエストヘッダーを使用してサポートされているメソッドをサーバーから要請し、次に、サーバーから "承認" を受けたうえで、実際の HTTP リクエストメソッドを使用して実際のリクエストを送信する必要があります。サーバーは、"認証情報" (Cookie と HTTP 認証データを含む) をリクエストとともに送信する必要があるかどうかをクライアントに通知することもできます。
CORS は、JSONP パターンに代わる新しい手法として使用できます。JSONP は GET リクエストのみをサポートしますが、CORS はその他のタイプの HTTP リクエストもサポートします。CORS を使用することによって、Web プログラマーは、JSONP よりも効率的にエラーハンドリングを行える *XMLHttpRequest*
を使用できるようになります。ほとんどの新しい Web ブラウザーで CORS がサポートされています。ただし JSONP は、CORS をサポートしていないレガシーブラウザーで機能します。
Open Commerce API では CORS 仕様がサポートされています。
API リクエストに Origin ヘッダーが含まれている場合、そのヘッダー内のオリジンが、許可されるオリジンのリスト に照らし合わせて検証されます。このリストは、Business Manager の Open Commerce API 設定でサイトとクライアントアプリケーションごとに構成できます。ヘッダー内のすべてのオリジンが、構成されたオリジンに一致する場合、API はレスポンスヘッダー *Access-Control-Allow-Origin*
にすべての許可されるオリジンを返すことによって、オリジンを確定します。また、API はレスポンスヘッダー *Access-Control-Allow-Credentials*
に値 "true" を返し、クライアントに Cookie も送信するよう通知します。オリジンが、許可されるオリジンのリストに指定されていない場合、API は *Access-Control-Allow*
ヘッダーをレスポンスに追加しません。これは、GET および HEAD のリクエストに対して当てはまります。PATCH、POST、PUT、および DELETE の各リクエストでは、API はタイプが *UnauthorizedOriginException*
の 401 フォールトを返し、サーバー側で処理は発生しません。
"プリフライトされた" リクエストはまず、他のドメインのリソースに対して HTTP OPTIONS リクエストヘッダーを送信します。これによって実際のリクエストを送信しても安全かどうかが判断されます。クロスサイトのリクエストはユーザーデータに影響を与える可能性があるため、プリフライトされます。特に、GET または POST 以外のメソッドを使用する場合は、リクエストでプリフライトを行います。また、POST メソッドを使用して、*application/x-www-form-urlencoded, multipart/form-data*
、または *text/plain*
以外の Content-Type とともにリクエストデータを送信する場合、リクエストでプリフライトを行います。たとえば、POST リクエストが *application/json, application/xml*
、または *text/xml*
を使用してサーバーに XML ペイロードを送信する場合は、リクエストでプリフライトを行います。
Open Commerce API で許可されるオリジンを構成するには、次の手順を実行します:
- Business Manager で、管理 > サイトの開発 > Open Commerce API 設定の順に移動します。
- 許可されるオリジンを構成するサイトを選択します。
- テキストフィールドで、JSON ドキュメントでクライアントアプリケーションごとにプロパティ allowed_origins を以下のように構成します。
'*' ワイルドカードはサポートされていません。
**例 1: ** 不明なオリジンの GET リクエスト - *Access-Control-Allow*
ヘッダーがレスポンスにありません。ブラウザーは同一オリジンポリシーを強制して、このレスポンスを拒否します。
**例 2: ** 既知のオリジンの GET リクエスト - *Access-Control-Allow*
ヘッダーがレスポンスにあります。最新のブラウザーではレスポンスコンテンツが使用可能になります。
**例 3: ** 不明なオリジンの POST リクエスト: プリフライト OPTIONS リクエストに *Access-Control-Allow*
ヘッダーがありません。ブラウザーは 2 回目のリクエストをスキップします。
**例 4: ** 既知のオリジンの POST リクエスト: プリフライト OPTIONS リクエストのレスポンスに *Access-Control-Allow*
ヘッダーがあります。ブラウザーは 2 回目のリクエストを実行します。