Movable Type CMSプラットフォーム Movable Type
ドキュメントサイト

Config Directives Reference環境変数リファレンス

DataAPICORSAllowOrigin

最終更新日: 2017.10.03

Web ブラウザの JavaScript を利用して外部のサイトから Data API にアクセスした場合、Web ブラウザのセキュリティ上の仕様でデフォルトではデータを取得することができません。DataAPICORSAllowOrigin にデータの取得を許可するアクセス元のサイトのオリジンを指定すると、アクセスの許可に必要な情報を設定します。

* (アスタリスク) か、, (カンマ) 区切りで複数のオリジンを指定することができます。

* (アスタリスク) を指定するとすべてのサイトからのアクセスを許可する意味になり、どのサイトからもデータを取得することができるようになります。 (Access-Control-Allow-Origin ヘッダとして * (アスタリスク) が返されます。)

DataAPICORSAllowOrigin *

, (カンマ) 区切りで複数のオリジンを指定すると、指定されたいずれかのオリジンとアクセス元のサイトのオリジンが一致した場合にだけデータを取得することができるようになります。 (Access-Control-Allow-Origin ヘッダとして一致したオリジンが返されます。)

DataAPICORSAllowOrigin http://www.example.com, http://beta.example.com

IE8 や IE9 の XDomainRequest で外部のサイトからリソースを取得するためには Access-Control-Allow-Origin ヘッダだけでなく XDomainRequestAllowed ヘッダを返す必要がありますが、Movable Type は Access-Control-Allow-Origin ヘッダを返す場合には常に XDomainRequestAllowed ヘッダとして 1 を返すので、XDomainRequest を利用している場合でもこの環境変数を設定することで外部のサイトからデータを取得することができるようになります。

オリジンは「スキーム」「ホスト名」「ポート」の 3 つの要素で構成される情報で、以下のようなフォーマットで指定することができます。 (必ず http:// や https:// から始める必要があります。)

  • http://www.example.com
  • https://www.example.com
  • http://www.example.com:81

オリジンは 3 つの要素のすべて一致する場合に「同じオリジン」であると判断されますので、* (アスタリスク) を使わず個別に指定をする場合には http と https の違いなどに気をつける必要があります。 (上の 3 つの指定例はすべて異なるオリジンになります。)

この環境変数には初期設定値はありません (外部のサイトからデータを取得することはできません) 。

使い方

DataAPICORSAllowOrigin http://www.example.com, http://beta.example.com

DataAPICORSAllowOrigin と関連のある環境変数 (8)

  • Data API によるアクセスを禁止したいサイトの ID をカンマ区切りで指定します。
  • Data API で、生成されるアクセストークンの生存期間を秒数で指定します。
  • Movable Type Data API のアクセス用スクリプトの名前を指定します。
  • Data API のエンドポイントから返されるレスポンスの Access-Control-Allow-Headers ヘッダの値を指定します。
  • Data API のエンドポイントから返されるレスポンスの Access-Control-Expose-Headers ヘッダの値を指定します。
  • Data API のエンドポイントから返されるレスポンスの Access-Control-Allow-Methods ヘッダの値を指定します。
  • 指定した複数のオリジンを Data API のアクセス元として許可します。
  • Data API 経由で取得できるリソースをフィールド単位で制限します。