CORSヘッダーの構成

Oracle Applications CloudでCORSを有効にするには、あるドメインのクライアント・アプリケーションがHTTP要求を使用して別のドメインからリソースを取得できるようにCORSヘッダーを構成します。 CORSヘッダーに対応するプロファイル・オプションの値を設定します。

プロファイル・オプションを表示するには、「設定と保守」作業領域に移動し、「アプリケーション拡張」機能領域の「アプリケーション・コア管理者プロファイル値の管理」タスクを使用します。

CORSプロファイル・オプション

この表は、CORSヘッダーに設定できるプロファイル・オプションを示しています。

CORSヘッダー	プロファイル・オプション名(プロファイル・オプション・コード)	プロファイル・オプションの値
Access-Control-Allow-Origin	Cross-Origin Resource Sharingで許可されるオリジン(ORA_CORS_ORIGINS)	許可されるオリジンを示すために入力できる値は次のとおりです。特定のオリジンのURL。たとえば、http://www.exampledomain.comです。オリジンのスペース区切りリスト。たとえば、 http://www.exampledomain.com http://us.example.com http://software.example.comです注意: アスタリスク()は、すべてのオリジンからのリソースへのアクセスを許可する有効な値としてサポートされなくなりました。許可されるオリジンの値としてアスタリスク()をすでに設定している場合は、許可されるオリジンで置き換えてください。ノート: プロファイル値を使用する際には、次の点に注意してください。 CORSを有効にするには、このヘッダーの値を設定する必要があります。 URLとアスタリスクは引用符で囲まないでください。ドメイン名には有効なURL文字のみを含める必要があります。このプロファイル値はサイト・レベルで適用されます。
Access-Control-Max-Age	CORS: Access-Control-Max-Age (CORS_ACCESS_CONTROL_MAX_AGE)	プリフライト要求のキャッシュのデフォルト値は3600秒です。
Access-Control-Allow-Methods	CORS: Access-Control-Allow-Methods (CORS_ACCESS_CONTROL_ALLOW_METHODS)	許可されるメソッドのデフォルト値は、OPTIONS、HEAD、GET、POST、PUT、PATCHおよびDELETEです。
Access-Control-Allow-Headers	CORS: Access-Control-Allow-Headers (CORS_ACCESS_CONTROL_ALLOW_HEADERS)	許可されるヘッダーのデフォルト値は、Accept、Accept-Encoding、Authorization、Cache-Control、Content-Encoding、Content-MD5、Content-Type、Effective-Of、If-Match、If-None-Match、Metadata-Context、Origin、Prefer、REST-Framework-Version、REST-Pretty-Print、Upsert-Mode、User-Agent、X-HTTP-Method-OverrideおよびX-Requested-Byです。
Access-Control-Allow-Credentials	CORS: Access-Control-Allow-Credentials (CORS_ACCESS_CONTROL_ALLOW_CREDENTIALS)	「True」または「False」を選択して、要求とともにユーザー資格証明を送信することを許可または禁止します。デフォルトはFalseです。注意: リスクを評価せずに値をTrueに設定しないでください。 ORA_CORS_ORIGINSの値がアスタリスク()に設定されている場合、値はTrueに設定しないでください。 ORA_CORS_ORIGINS値がの場合、Access-Control-Allow-Credentialsヘッダーは設定されません。値をTrueに設定すると、すべてのFusion Applications RESTエンドポイントに影響します。