CORSの作業

Cross-Origin Resource Sharing (CORS)は、JavaScriptがかわりに別のドメインのリソースにアクセスするようにリクエストできるようにするヘッダーベースのプロトコルです。Cloud Gateを構成して、CORSを有効にし、アプリケーション・ゲートウェイまたはIAMアイデンティティ・ドメインで実行されているCloud GateのCORS設定を適用します。

CORSは、不正なJavaScript(たとえば、広告を使用して攻撃者によってサイトに移植される)がAJAXリクエストをユーザーにかわって行うのを防ぐのに役立ちます。詐欺的なAJAXリクエストは、銀行からお金を引き出すか、オンラインショッピングサイトであなたの名前で購入することができます。これらのリクエストは、これらのサイトとのアクティブなセッションが現在ある場合に成功する可能性があります。CORSは、サーバーが正しいレスポンス・ヘッダーのセットで応答しない場合、ブラウザではJavaScriptがレスポンスを表示(またはアクセス)できないことを規定しています。

CORSリクエストは、JavaScriptが別のHTTPリクエストを試行するとトリガーされます。

domain - たとえば、site1.oraclecloud.comはoracle.comをコールします。
サブドメイン- たとえば、site1.oraclecloud.comはsite7.oraclecloud.comをコールします
port - たとえば、site1.oraclecloud.comはsite1.oraclecloud.com:3030をコールします。
プロトコル- たとえば、https://site1.oraclecloud.comはhttp://site1.oraclecloud.comをコールします

CORS要求には、単純なCORS要求とプリフライトCORS要求の2つの形式があります。

単純なCORSリクエスト

単純なCORSリクエストは、別のドメイン内のリソースに対するJavaScriptリクエストに次の特性がある場合に実行されます。

このメソッドは、次のいずれかです。
- GET
- POST
- HEAD
Simple CORSリクエストに手動で追加できるHTTPヘッダーは、次のとおりです。
- Accept
- Accept-Language
- Content-Language
- Content-Type
- DPR
- Downlink
- Save-Data
- Viewport-Width
- Width
Content-Typeを設定する場合は、次のようにする必要があります。
- application/x-www-form-urlencoded
- multipart/form-data
- text/plain

プレフライトCORS要求

JavaScriptリクエストがSimple CORSリクエストの特性を満たさない場合、Preflight CORSリクエストがもう一方のドメインにあるリソースに送信されます。

Preflight CORS Requestは、プリフライト・リクエスト・フローがトリガーされた結果となったデータを含むリクエストに特定のHTTPヘッダーを含めることで、実際のリクエストをそのリソースに送信できるかどうかをテストします。つまり、JavaScript HTTPリクエストで、Preflight CORSリクエストが必要なメソッド/ヘッダーがHTTPリクエストに指定されている場合、Preflight CORSリクエストはリソースに対してそれらのメソッド/ヘッダーを問い合せて、リソースがそのようなクロスドメイン・リクエストを受け入れるかどうかを確認します。

Cloud Gate CORS構成のプロパティと属性

次の表では、Cloud Gate CORSの構成プロパティおよび属性について説明します。


CORSプロパティ	説明
`cloudGateCorsEnabled`	テナンシのCloud Gate CORSサポートをオンにするブール・プロパティ。この設定は、`true`に構成する必要があります。 `cloudGateCorsSettings`で`cloudGateCorsEnabled`フラグを有効にすると、テナントおよびアイデンティティ・ドメインで機能がアクティブ化され、`cloudGateCorsAllowedOrigins`で定義された許可されたオリジンおよび許可されたオリジン・グローバル・リストが強制的に適用されます。デフォルトは`false`です。ベストプラクティス `cloudGateCorsAllowedOrigins`を同時に構成します。このプロパティが空のままの場合は、すべてのCORSリクエストが失敗します。
`cloudGateCorsAllowedOrigins`	プロパティは、許可されるCORSオリジンのリストを含む文字列配列です。デフォルトは空の配列です。すべてのCORSリクエストは、そのソースまたはオリジンをオリジン・リクエスト・ヘッダーで指定します。オリジン・ヘッダーの値は、このリストと一致します。オリジンが一致した場合、Cloud Gateはそのレスポンスに適切なCORSヘッダーを追加します。オリジンが一致しない場合、Cloud GateはCORSレスポンス・ヘッダーを返さず、ブラウザによってレスポンスが拒否されます。入力テンプレートで許可されるCORS値: 入力: `* \| <PROTOCOL>"://"<HOST><PORT>` `<PROTOCOL>`: `* \| http \| https` `<HOST>`: `[<DOMAIN>.]<DOMAIN>` `<DOMAIN>`: `< any alphanumerical character, * and - >` `<DOMAIN>`は、'`-`'で開始または終了できません。任意の`<DOMAIN>`をワイルド・カードにできます。ワイルドカードにはドメイン全体が含まれている必要があります。たとえば、`www..com`は有効ですが、`www.racle.com`は有効ではありません。 https://tools.ietf.org/html/rfc1123を参照として使用 `<PORT>`: `<EMPTY> \| ":" <PORT_VALUE>` `<PORT_VALUE>`: `* \| <numerical characters>`。`<PORT_VALUE>`は1から65535の範囲内である必要があります。例: すべてに一致: `` 完全一致: `https://www.acme.com, https://www.acme.com:4443` 正確なホスト/プロトコル、任意のポート: `https://www.google.com:` 正確なホスト/ポート、任意のプロトコル(HTTPまたはHTTPS): `://www.acme.com, ://www.acme.com:8080` サブドメイン、正確なプロトコル、ポートなし: `https://.oraclecloud.com` 任意のドメイン、正確なプロトコル、ポートなし: `https://`
`cloudGateCorsAllowNullOrigin`	ブラウザがnullの起点を送信するシナリオをサポートするブール・プロパティ。この設定は、`true`に構成する必要があります。デフォルトは`false`です。 CORSリクエストがユーザーのコンピュータ上のファイルから送信される場合、またはサーバーがCORSリクエストに応答して別のサーバーにリダイレクトされる場合は、「null」オリジンが送信されます。ブラウザは、Originが"tainted"とみなされると、"null" Originを渡します。セキュリティを強化するために、デフォルトではnullのオリジンは許可されません。いくつかの"null"の起点は有効です。アイデンティティ・ドメインのOpenID Connect (OIDC)ブラウザ・フロー・ログインを利用するアプリケーションでは、Cloud Gateノードに"null"のオリジンが送信されます。Cloud Gateがアイデンティティ・ドメイン認可エンドポイントにリダイレクトしてOIDCブラウザ・ログインを開始し、アイデンティティ・ドメインがリクエストをCloud Gateにリダイレクトすると、オリジンがnullになります。
`cloudGateCorsMaxAge`	クライアント(ブラウザ)がPreflight CORSレスポンスをキャッシュできる秒数を指定する整数。
`cloudGateCorsExposedHeaders`	このプロパティは、`Access-Control-Expose-Headers`レスポンス・ヘッダーに追加できるレスポンス・ヘッダーをリストする文字列配列です。デフォルトは空の配列です。

アイデンティティ・ドメインでのCloud Gate CORS設定の構成

Cloud Gateでは、Cross-Origin Resource Sharing (CORS)サポート用にアイデンティティ・ドメインで次の設定を構成する必要があります。

構成を開始する前に、Cloud Gateの正しいバージョンがあることを確認してください。以前のバージョンのCloud Gateモジュールでは、CORSのサポートが提供されませんでした。CORSをサポートするためにProtected Applicationsに委ねられました。Web層ポリシー・ドキュメントのisCorsAllowed設定がtrueに設定されている場合、Cloud Gateは保護アプリケーションへのCORSリクエストのプリフライトを許可します。

ノート

必要なCloud Gateの最小バージョンは21.1.2です。

CORS設定を構成するには、/admin/v1/Settings/Settingsエンドポイントを使用します。リクエストはpatch操作です。詳細は、設定の更新を参照してください。

このサンプル・ペイロードをテンプレートとして使用して、リクエスト本文を作成します。ペイロードをファイルに保存します(たとえば、/tmp/cors-settings.json)。デプロイメントの詳細を使用してファイルを編集します。

サンプルのペイロード。

   {
   "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
   "Operations": [{
    "op": "replace",
    "path": "cloudGateCorsSettings",
    "value": {
    "cloudGateCorsEnabled": true,
    "cloudGateCorsAllowNullOrigin": true,
    "cloudGateCorsAllowedOrigins": [ "https://app.my-server.com:8080", "https://*:*" ],
    "cloudGateCorsMaxAge: 60,
    "cloudGateCorsExposedHeaders": [ "x-custom-header", "x-my-app-header" ]
    }
    }]
   }

サンプルcURLリクエスト。

   # $AT is a previously generated Admin Access Token.
   # https://<IdentityDomainID>.identity.oraclecloud.com is an example URL 
   $ curl -X PATCH -H "Content-Type: application/scim+json" -H "Accept: application/json" -H "Authorization: Bearer $AT" "https://<domainURL>/admin/v1/Settings/Settings" --data @"/tmp/cors-settings.json"

CORSサポートを有効にするには、次のいずれかを実行します。
- NGINXサーバーを手動で再起動またはリロードします。
- Cloud Gate CORS設定キャッシュが期限切れになるまで待機します。これには、デフォルトで最大1時間かかる場合があります。
次に、CORSリクエストに応じてCloud Gateが返すCORSレスポンス・ヘッダーを示します。
- Access-Control-Allow-Origin
- Access-Control-Allow-Methods
- Access-Control-Allow-Headers
- Access-Control-Allow-Credentials
- Access-Control-Max-Age
- Access-Control-Expose-Headers

単純およびプリフライトCORSリクエスト・ワークフロー

Cross-Origin Resource Sharing (CORS)リクエスト・ワークフローの概要。

シンプルなCORS要求ワークフロー

リクエストは、オリジン・リクエスト・ヘッダーの存在によってCORSリクエストとして識別されます。
必要に応じて(キャッシュの有効期限など)、Cloud Gate CORS設定はIAMのアイデンティティ・ドメインからダウンロードされます。
Cloud Gateはリクエストを処理します。リクエストを拒否するか、アップストリーム・アプリケーション・サーバーまでリクエストを許可します。
レスポンスが返される前に、Cloud GateはCloud Gate CORS設定で定義されたCORSを適用します。
1. Cloud Gateは常に、可変レスポンス・ヘッダーがレスポンスの一部であり、元のヘッダーが含まれていることを確認します。これは、CORS以外のリクエストでも発生します。
2. cloudGateCorsEnabledがfalseの場合、ここで処理は停止します。応答はそのまま返されます。
3. Cloud Gateは、許可されるオリジンの構成済リストを使用して、オリジンが許可されていることを確認します。
  オリジンが許可されていない場合、サポートされているすべてのCORSレスポンス・ヘッダーがレスポンスから削除され、処理が終了します。
4. Access-Control-Allow-Originレスポンス・ヘッダーが追加され、オリジン・リクエスト・ヘッダーの値に構成されます。
5. Access-Control-Allow-Credentialsレスポンス・ヘッダーが追加され、trueに構成されます。
6. Access-Control-Expose-Headersは、cloudGateCorsExposedHeaders値とレスポンスで返されるヘッダーのリストの間の交差に構成されます。
7. レスポンスからAccess-Control-Allow-Methods、Access-Control-Allow-HeadersおよびAccess-Control-Max-Age Response Headersが削除されます。
Cloud Gateはレスポンスを返します。

ノート

Cloud Gateは、アップストリーム・アプリケーション・サーバーによって設定されている場合、Access-Control-Allow-OriginおよびAccess-Control-Allow-Credentials Responseヘッダーを上書きします。

Preflight CORS要求ワークフロー

リクエストは、オリジン・リクエスト・ヘッダーの存在によってCORSリクエストとして識別されます。
必要に応じて(キャッシュの有効期限など)、Cloud Gate CORS設定はIAMのアイデンティティ・ドメインからダウンロードされます。
リクエストは、オリジン・リクエスト・ヘッダーに加えて、OPTIONSメソッドおよびAccess-Control-Request-Methodリクエスト・ヘッダーによってプリフライトCORSリクエストとして識別されます。
cloudGateCorsEnabledがtrueの場合、アプリケーションはCORSを実装できるように、リクエストはアップストリーム・アプリケーション・サーバーに転送されます。
cloudGateCorsEnabledがfalseの場合、古いisCorsAllowed Web層ポリシー設定は、リクエスト処理の後半でも引き続き適用されます。
Cloud Gateからレスポンスが返される前に、CORSはCloud Gate CORS設定で定義されているように強制されます。
1. Cloud Gateは常に、可変レスポンス・ヘッダーがレスポンスの一部であり、元のヘッダーが含まれていることを確認します。これは、nonCORSリクエストでも発生します。
2. cloudGateCorsEnabledがfalseの場合、ここで処理は停止します。レスポンスは、そのまま返されます。
3. Cloud Gateは、許可されるオリジンの構成済リストを使用して、オリジンが許可されていることを確認します。
  オリジンが許可されていない場合、サポートされているすべてのCORSレスポンス・ヘッダーがレスポンスから削除され、処理が終了します。
4. Access-Control-Allow-Originレスポンス・ヘッダーが追加され、オリジン・リクエスト・ヘッダーの値に構成されます。
5. Access-Control-Allow-Credentialsレスポンス・ヘッダーが追加され、trueに構成されます。
6. アップストリーム・アプリケーション・サーバーがAccess-Control-Allow-Methodsレスポンス・ヘッダーを追加しなかった場合、Cloud Gateは値を次のように構成します。
  - 「レスポンスの許可」ヘッダーがレスポンスに含まれている場合、Cloud Gateはその値を使用します。
  - リクエストにAccess-Control-Request-Methodリクエスト・ヘッダーが見つかった場合、Cloud Gateはその値を使用します。
7. アップストリーム・アプリケーション・サーバーがAccess-Control-Allow-Headersレスポンス・ヘッダーを追加しなかった場合、Cloud GateはリクエストにAccess-Control-Request-Headersリクエスト・ヘッダーの値(存在する場合)を使用します。
8. cloudGateCorsMaxAgeが0より大きい値に構成されている場合、Access-Control-Max-Ageレスポンス・ヘッダーが追加され、最大経過時間値に構成されます。cloudGateCorsMaxAge値が0以下の場合、Access-Control-Max-Ageレスポンス・ヘッダーに対するアクションは実行されません。
9. Access-Control-Expose-Headersレスポンス・ヘッダーが削除されます。Preflight Responsesには適用されません。
Cloud Gateはレスポンスを返します。

Oracle Cloud Infrastructureドキュメント