CORS問題

PHP
2017年3月21日
この記事はだいぶ前に書かれたものなので情報が古いかもしれません
フライト画像

この記事を三行にまとめると

水溶性の化合物で天然の温泉に混入されていることが多い
プリフライトリクエストの方では直接Authorizationの中身を取れない
正しいやり方があるなら教えてほしいっす
CORS・・・一酸化化合物の一種。水溶性の化合物で天然の温泉に混入されていることが多い。無色だが少し硫黄のにおいがする。

というのは真っ赤な嘘で、えーとこれは、クロスドメインリソースシェアリングの略ですかね。僕も詳しい説明はできないんですが……例えばAPIでデータを取得する時に、本当にそのデータ取得が信頼できる処理なのかを一度確かめようとするもの……みたいなことで良いのかな。

APIの開発なんかをしておりますと、クロスドメインの問題にどうしてもぶち当たると思います。簡単に言うと別のドメインからデータを参照する時などに「おい、そんなリクエストで大丈夫か?」と問われるようなことです。変なサイトから妙なデータを取ってきたりすると危ないですからね。そこには悪意のあるデータが含まれているかもしれない。

そこでGETなりPOSTなりリクエストを投げる前に、プリフライトというリクエストを送信することがあります。このプリフライトリクエストによって安全なリクエストだってことが確認されれば、改めてGETやらPOSTを送信するってすんぽーです。

まあ、ヘッダの設定を適切に行っておけば特に問題ないところなのですが、今回はそのプリフライトリクエストに関してちょっと困ったことがありまして……しかもその良い解決方法が浮かばなかったんで、見ていただきたいなと。あわよくば誰かベストプラクティスをご教示いただけないかと。そんな次第です。



プリフライトリクエスト

説明が重複しちゃいますが、プリフライトリクエストってのは、安全なリクエストか確かめるためにOPTIONSメソッドで送信されるリクエストです。GET、POST、HEAD以外のメソッドを使用する場合や、カスタムヘッダを送信する場合などに発生します。プリフライトリクエストによって安全が確認できればGETやPOSTリクエストが送信されるので、動きとしては二回リクエストが投げられていることになります。

例えばGETリクエストを投げようとしてプリフライトリクエストが発生した場合。

//プリフライトリクエスト
Array (
  [host] => norm-nois.com
  [Accept-Encoding] => gzip, deflate, sdch
  [Accept-Language] => ja,en-US;q=0.8,en;q=0.6
  [Access-Control-Request-Method] => GET
  [Connection] => keep-alive
)

//実際のGETリクエスト
Array (
  [host] => norm-nois.com
  [Accept-Encoding] => gzip, deflate, sdch
  [Accept-Language] => ja,en-US;q=0.8,en;q=0.6
  [Connection] => keep-alive
)

安全性を確かめる必要が生じる場合、こんな感じで二回のリクエストが発生します。

これはヘッダ情報(の一部)をログに取った結果。ほとんど一緒なのですが、プリフライトリクエストの方には「Access-Control-Request-Method」ってのがありますね。これは、実際のメソッドはGETですよ〜ってのを示す項目です。

まあ、安全なリクエストであればなーんも問題はございやせん。



カスタムヘッダ

じゃあ何が問題なのかっつー話なのですが、例えばヘッダ情報に「Authorization」みたいなカスタムヘッダを追加したい場合。

実際に追加すると、リクエストの中身はこんな風に変わります。

//プリフライトリクエスト
Array (
  [host] => norm-nois.com
  [Accept-Encoding] => gzip, deflate, sdch
  [Accept-Language] => ja,en-US;q=0.8,en;q=0.6
  [Access-Control-Request-Headers] => authorization
  [Access-Control-Request-Method] => GET
  [Connection] => keep-alive
)

//実際のGETリクエスト
Array (
  [host] => norm-nois.com
  [Accept-Encoding] => gzip, deflate, sdch
  [Accept-Language] => ja,en-US;q=0.8,en;q=0.6
  [Authorization] => abcde1234
  [Connection] => keep-alive
)

プリフライトリクエストの方に「[Access-Control-Request-Headers」という項目が追加されてます。ヘッダ情報の中に「Authorization」ってのが含まれてるで〜ってなことを言っています。

ここで問題なのは、プリフライトリクエストの方では直接Authorizationの中身を取れないってことです。

だから例えば、このAuthorizationにアクセストークンをセットしてユーザー情報なんかを取得する場合に、プリフライトリクエストの方ではユーザー情報が取れないんですよね。ってことはログイン必須のページでユーザー情報が取得できないとエラーを返すような仕様にしていると、毎回必ずエラーになってしまうわけです。困ったちゃんなのです。

//ヘッダ情報を取得
$headers = getallheaders();

//トークンがあるか判定
if(!empty($headers['Authorization'])) {
  //ユーザー情報を取得
} else {
  //エラーを返す
}

こういう時ってどうすれば良いんですかね?

強引にプリフライトリクエストかどうか判定して、プリフライトだったら何の処理も行わないようにするとか、何らかのHTTPステータスコード(204とか)を返すとか?

//プリフライトリクエストだったら処理終了
if($_SERVER['REQUEST_METHOD'] == 'OPTIONS' && isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS'])) {
  exit;
}

//トークンの判定やらユーザー情報の取得を行う
$headers = getallheaders();
if(!empty($headers['Authorization'])) {
  //ユーザー情報を取得
} else {
  //エラーを返す
}

みたいな。






一応、上記みたいな書き方をすればエラーにはならないんですけど、でも何かしっくり来ないと言うか……すっきりしないっすね。

でも今の自分にはこれ以上の方法が思いつかないっす。正しいやり方があるなら教えてほしいっす。
 もしかしたら何か関連しているかも? 
authorized
headerのAuthorizationを取得したい
PHP 開発技術
Authorizationという項目を取得することができません
ヘッダ情報のAuthorizationを出力してみます
URLを任意に変えて、試してみてください
モンキーボード
サルでもできるかもしれないFacebook連携 〜WordPressとの連動〜
PHP 開発技術
Facebook連携をやってみます
Wordpressで連携してみます
俺にできてサルにできないことはない
Twitter APIの使用方法
PHP 開発技術
※この記事は情報が極めて不足しています。でも編集はできません。ご注意ください。 全くと言っていいほど話題に出さなかったんですけど、実はTwitterやってるんですよ。始めたのつい最近なんですが、良かっ…
どこで重たい動画を変換するか? 裏側でしょ!
PHP 開発技術
先日、ffmpegを使って動画の変換をやってみたんですけど……。 重たい動画を変換しようと思ったら、当然それだけ時間がかかるじゃないっすか。その間、ユーザーにずっと「現在変換しています」っていう、ローデ…
ダウンロードすんならfile_get_contentsよりfreadの方が良さげ?
PHP 開発技術
もうずーっと前の話になりますけど、PHPで画像のダウンロードボタンを作ったことがありまして、そん時のことを記事に書いたことがあります。 これがそう。phpで画像ダウンロードボタンを作ってみる header()…
だいたいそんなか〜んじ〜♪(参照:ギャグ漫画日和)
emptyとissetについて(今一度おさらいしておきたい)
PHP 開発技術
emptyは0でもtrueを返す
issetはnullでもfalseを返す
これでも五年近くやってきました
 みんなからのコメント 
2020年05月01日 00:13:52
匿名
助かりました。ありがとうございます☆
2020年05月01日 19:14:03
まっち~(管理人)
いえいえ、お役に立てて何よりです。