DataAPICORSAllowOrigin
Web ブラウザの JavaScript を利用して外部のサイトから Data API にアクセスした場合、Web ブラウザのセキュリティ上の仕様でデフォルトではデータを取得することができません。DataAPICORSAllowOrigin にデータの取得を許可するアクセス元のサイトのオリジンを指定すると、アクセスの許可に必要な情報を設定します。
*(アスタリスク)か、,(カンマ)区切りで複数のオリジンを指定することができます。
*(アスタリスク)を指定すると全てのサイトからのアクセスを許可する意味になり、どのサイトからもデータを取得することができるようになります。(Access-Control-Allow-Origin ヘッダとして*(アスタリスク)が返されます)
DataAPICORSAllowOrigin *
,(カンマ)区切りで複数のオリジンを指定すると、指定されたいずれかのオリジンとアクセス元のサイトのオリジンが一致した場合にだけデータを取得することができるようになります。(Access-Control-Allow-Origin ヘッダとして一致したオリジンが返されます)
DataAPICORSAllowOrigin http://www.example.com, http://beta.example.com
IE8 や IE9 の XDomainRequest で外部のサイトからリソースを取得するためには Access-Control-Allow-Origin ヘッダだけでなく XDomainRequestAllowed ヘッダを返す必要がありますが、PowerCMS は Access-Control-Allow-Origin ヘッダを返す場合には常に XDomainRequestAllowed ヘッダとして1を返すので、XDomainRequest を利用している場合でもこの環境変数を設定することで外部のサイトからデータを取得することができるようになります。
オリジンは「スキーム」「ホスト名」「ポート」の3つの要素で構成される情報で、以下のようなフォーマットで指定することができます。(必ず http:// や https:// から始める必要があります。)
- http://www.example.com
- https://www.example.com
- http://www.example.com:81
オリジンは3つの要素の全て一致する場合に「同じオリジン」であると判断されますので、*(アスタリスク)を使わず個別に指定をする場合には http と https の違いなどに気をつける必要があります。(上の3つの指定例は全て異なるオリジンになります)
この環境変数には初期設定値はありません(外部のサイトからデータを取得することはできません)。
使い方
DataAPICORSAllowOrigin http://www.example.com, http://beta.example.com
初期設定値
この環境変数に初期設定値はありません。
DataAPICORSAllowOrigin と関連のある環境変数 (6)
- AccessTokenTTL
- DataAPICORSAllowHeaders
- DataAPICORSAllowMethods
- DataAPICORSAllowOrigin
- DataAPICORSExposeHeaders
- DisableResourceField
