クロスオリジンリソース共有(CORS)
CORS は、他のドメイン(例:myothersite.com)で提供されるページ上のブラウザスクリプトが、あなたのサーバー(例:api.mysite.com)と通信できるようにするメカニズムです。JSONP と同様に、CORSの目的は同一オリジンポリシーを回避し、Sailsサーバーが他のドメインでホストされているページ上で実行されているクライアントサイドJavaScriptコードからのリクエストに正常に応答できるようにすることです。JSONPとは異なり、GETリクエスト以外にも対応しており、特定のオリジン(`staging.yoursite.com`や`yourothersite.net`)をホワイトリストに登録し、他のオリジン(`evil.com`)からのリクエストをブロックできます。
Sailsは、指定したドメインリストからのクロスオリジンリクエスト、またはすべてのドメインからのクロスオリジンリクエストを許可するように設定できます。これは、ルートごとに、またはアプリケーションのすべてのルートに対してグローバルに行うことができます。
CORSの有効化
セキュリティ上の理由から、SailsではCORSはデフォルトで無効になっています。しかし、有効化は簡単です。
アプリケーション内のすべてのルートに対して、信頼できるドメインのホワイトリストからのクロスオリジンリクエストを許可するには、config/security.jsでallRoutesを有効化し、origin設定を指定します。
cors: {
allRoutes: true,
allowOrigins: ['http://example.com','https://api.example.com','http://blog.example.com:1337','https://foo.com:8888']
}
アプリケーション内のすべてのルートに対して、すべてのドメインからのクロスオリジンリクエストを許可するには、allowOrigins: '*'を使用します。
cors: {
allRoutes: true,
allowOrigins: '*',
allowCredentials: false
}
allowOrigins: '*'を使用する場合、allowCredentials設定は必ずfalseにする必要があります。つまり、Cookieを含むリクエストはブロックされます。この制限は、サードパーティサイトがログイン中のユーザーをだまして、アプリケーションへの不正なリクエストを行わせないようにするためのものです。この制限を解除することもできます(自己責任で!)が、その場合はallowAnyOriginWithCredentialsUnsafe設定を使用します。
使用可能なすべてのオプションの詳細については、sails.config.security.corsを参照してください。
個々のルートに対するCORSの設定
config/security.jsのグローバルなCORS設定に加えて、これらの設定はconfig/routes.jsでルートごとに設定できます。
config/security.jsでallRoutes: trueを設定した場合でも、特定のルートを例外とするには、そのルートのターゲットでcors: falseを設定します。
'POST /signup': {
action: 'user/signup',
cors: false
}
特定のルートに対してグローバルなCORS設定を有効化またはオーバーライドするには、辞書としてcorsを指定します。
'GET /videos': {
action: 'video/find',
cors: {
allowOrigins: ['http://example.com','https://api.example.com','http://blog.example.com:1337','https://foo.com:8888'],
allowCredentials: false
}
}
注意事項
- CORSサポートはHTTPリクエストにのみ関連します。ソケットを介して行われたリクエストは、クロスオリジン制限の対象になりません。ソケットを介してアプリケーションを安全にするには、
onlyAllowOrigins設定(通常はconfig/env/production.js内)を設定します。- Internet Explorer 7ではCORSはサポートされていません。幸いなことに、IE8以降、およびその他のすべての最新のブラウザではサポートされています。
- MDNのCORSに関する詳細はこちら。
- CORS仕様書はこちら。
sailsjs.comをより快適にご利用いただくために、ブラウザをアップデートしてください。
概念
愛情を込めて作成
Sailsフレームワークは、貢献者の皆様のご協力の下、テキサス州オースティンにあるウェブ&モバイル開発会社によって開発されました。私たちは2012年にNode.jsプロジェクトを支援するためにSailsを作成し、オープンソース化しました。皆様の生活を少しでも楽にできれば幸いです!
© 2012-2024 The Sails Company。
Sailsフレームワークは、MITライセンスに基づいて無料でオープンソースとして提供されています。
イラストはEdamameによるものです。