CORSの作業

Cross-Origin Resource Sharing (CORS)は、ヘッダーベースのプロトコルで、JavaScriptがユーザーにかわってリクエストを行い、別のドメインのリソースにアクセスできるようにします。クラウド・ゲートを構成して、CORSを有効にし、アプリケーション・ゲートウェイまたはIAMアイデンティティ・ドメインで実行されているクラウド・ゲートのCORS設定を適用します。

CORSは、不正JavaScript(たとえば、広告を使用して攻撃者によってサイトに配置される)がユーザーにかわってAJAXリクエストを作成するのを防ぐのに役立ちます。詐欺的なAJAXリクエストは、あなたの銀行からお金を引き出すか、オンラインショッピングサイトであなたの名前で購入することができます。これらのサイトとのアクティブなセッションが現在ある場合、これらのリクエストは成功する可能性があります。CORSは、サーバーが正しいレスポンス・ヘッダー・セットで応答しない場合、ブラウザでJavaScriptがレスポンスを表示(またはアクセス)できないことを規定しています。

CORSリクエストは、JavaScriptが別のHTTPリクエストに対して試行するとトリガーされます。

domain - たとえば、site1.oraclecloud.comはoracle.comをコールします。
サブドメイン- たとえば、site1.oraclecloud.comはsite7.oraclecloud.comをコールします
port - たとえば、site1.oraclecloud.comはsite1.oraclecloud.com:3030をコールします。
protocol - たとえば、https://site1.oraclecloud.comはhttp://site1.oraclecloud.comをコールします。

CORS要求には、単純なCORS要求またはプリフライトCORS要求の2つの形式があります。

簡易CORS要求

別のドメインのリソースに対するJavaScriptリクエストに次の特性がある場合、単純なCORSリクエストが実行されます。

このメソッドは次のいずれかです。
- GET
- POST
- HEAD
簡易CORSリクエストに手動で追加できるHTTPヘッダーは、次のとおりです。
- Accept
- Accept-Language
- Content-Language
- Content-Type
- DPR
- Downlink
- Save-Data
- Viewport-Width
- Width
Content-Typeが設定されている場合は、次のようにする必要があります。
- application/x-www-form-urlencoded
- multipart/form-data
- text/plain

プリフライトCORS要求

JavaScriptリクエストが単純なCORSリクエストの特性を満たさない場合、プリフライトCORSリクエストが他のドメインにあるリソースに送信されます。

Preflight CORS Requestは、プリフライト要求フローがトリガーされたデータを含む要求に特定のHTTPヘッダーを含めることによって、実際の要求をそのリソースに送信できるかどうかをテストします。つまり、JavaScript HTTPリクエストで、Preflight CORSリクエストを必要とするメソッド/ヘッダーがHTTPリクエストに指定されていた場合、Preflight CORSリクエストは、リソースにそれらのメソッド/ヘッダーを問い合せて、リソースがそのようなクロスドメイン・リクエストを受け入れるかどうかを確認します。

Cloud Gate CORS構成プロパティおよび属性

次の表に、Cloud Gate CORS構成プロパティおよび属性を示します。


CORSプロパティ	説明
`cloudGateCorsEnabled`	テナンシのCloud Gate CORSサポートをオンにするブール・プロパティ。この設定は、`true`に構成する必要があります。 `cloudGateCorsSettings`で`cloudGateCorsEnabled`フラグを有効にすると、テナントおよびアイデンティティ・ドメインで機能がアクティブ化され、`cloudGateCorsAllowedOrigins`で定義された許可されるオリジンおよび許可されるオリジンのグローバル・リストが強制されます。デフォルトは`false`です。ベストプラクティス。 `cloudGateCorsAllowedOrigins`を同時に構成します。このプロパティが空のままの場合、すべてのCORSリクエストは失敗します。
`cloudGateCorsAllowedOrigins`	プロパティは、許可されたCORSオリジンのリストを含む文字列配列です。デフォルトは空の配列です。すべてのCORSリクエストは、そのソースまたはオリジンをオリジン・リクエスト・ヘッダーで指定します。オリジン・ヘッダーの値がこのリストと一致します。 Originが一致すると、Cloud Gateは適切なCORSヘッダーをレスポンスに追加します。オリジンが一致しない場合、Cloud GateはCORSレスポンス・ヘッダーを返さないため、レスポンスはブラウザによって拒否されます。入力テンプレートで許可されるCORS値: エントリ: `* \| <PROTOCOL>"://"<HOST><PORT>` `<PROTOCOL>`: `* \| http \| https` `<HOST>`: `[<DOMAIN>.]<DOMAIN>` `<DOMAIN>`: `< any alphanumerical character, * and - >` `<DOMAIN>`は、'`-`'で開始または終了できません。 `<DOMAIN>`にはワイルドカードを使用できます。ワイルドカードにはドメイン全体を含める必要があります。たとえば、`www..com`は有効ですが、`www.racle.com`は有効ではありません。 https://tools.ietf.org/html/rfc1123を参照として使用 `<PORT>`: `<EMPTY> \| ":" <PORT_VALUE>` `<PORT_VALUE>`: `* \| <numerical characters>`。`<PORT_VALUE>`は1から65535の範囲内である必要があります。例: すべてに一致: `` 完全一致: `https://www.acme.com, https://www.acme.com:4443` 正確なホスト/プロトコル、任意のポート: `https://www.google.com:` 正確なホスト/ポート、任意のプロトコル(HTTPまたはHTTPS): `://www.acme.com, ://www.acme.com:8080` サブドメイン、正確なプロトコル、ポートなし: `https://.oraclecloud.com` 任意のドメイン、正確なプロトコル、ポートなし: `https://`
`cloudGateCorsAllowNullOrigin`	ブラウザが"null"オリジンを送信するシナリオをサポートするブール・プロパティ。この設定は、`true`に構成する必要があります。デフォルトは`false`です。 CORS要求がユーザーのコンピュータ上のファイルからのものである場合、またはサーバーがCORS要求に応答して別のサーバーにリダイレクトする場合に、nullオリジンが送信されます。オリジンが"tainted"とみなされると、ブラウザは"null"オリジンを渡します。セキュリティを強化するために、デフォルトでは"null"の起点は許可されません。一部の"null"の起点が有効です。アイデンティティ・ドメインのOpenID Connect (OIDC)ブラウザ・フロー・ログインを利用するアプリケーションでは、Cloud Gateノードに送信される「null」のオリジンが表示されます。Cloud Gateがアイデンティティ・ドメインにリダイレクトしてOIDCブラウザ・ログインを開始すると、アイデンティティ・ドメインがリクエストをCloud Gateにリダイレクトすると、オリジンがnullになります。
`cloudGateCorsMaxAge`	クライアント(ブラウザ)がプリフライトCORSレスポンスをキャッシュできる秒数を指定する整数。
`cloudGateCorsExposedHeaders`	プロパティは、`Access-Control-Expose-Headers`レスポンス・ヘッダーに追加できるレスポンス・ヘッダーをリストする文字列配列です。デフォルトは空の配列です。

アイデンティティ・ドメインでのCloud Gate CORS設定の構成

Cloud Gateでは、Cross-Origin Resource Sharing (CORS)サポート用にアイデンティティ・ドメインで次の設定を構成する必要があります。

構成を開始する前に、正しいバージョンのCloud Gateがあることを確認してください。以前のバージョンのCloud Gateモジュールでは、CORSのサポートが提供されませんでした。CORSをサポートするために保護されたアプリケーションに任されました。Web層ポリシー・ドキュメントのisCorsAllowed設定がtrueに設定されている場合、Cloud Gateは保護アプリケーションへのCORSリクエストのプリフライトを許可します。

ノート

必要なCloud Gateの最小バージョンは21.1.2です。

/admin/v1/Settings/Settingsエンドポイントを使用して、CORS設定を構成します。リクエストはpatch操作です。詳細は、設定の更新を参照してください。

このサンプル・ペイロードをテンプレートとして使用して、リクエスト本文を作成します。ペイロードをファイル(/tmp/cors-settings.jsonなど)に保存します。デプロイメントの詳細を使用してファイルを編集します。

サンプル・ペイロード。

   {
   "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
   "Operations": [{
    "op": "replace",
    "path": "cloudGateCorsSettings",
    "value": {
    "cloudGateCorsEnabled": true,
    "cloudGateCorsAllowNullOrigin": true,
    "cloudGateCorsAllowedOrigins": [ "https://app.my-server.com:8080", "https://*:*" ],
    "cloudGateCorsMaxAge: 60,
    "cloudGateCorsExposedHeaders": [ "x-custom-header", "x-my-app-header" ]
    }
    }]
   }

cURLリクエストの例。

   # $AT is a previously generated Admin Access Token.
   # https://<IdentityDomainID>.identity.oraclecloud.com is an example URL 
   $ curl -X PATCH -H "Content-Type: application/scim+json" -H "Accept: application/json" -H "Authorization: Bearer $AT" "https://<domainURL>/admin/v1/Settings/Settings" --data @"/tmp/cors-settings.json"

CORSサポートを有効にするには、次のいずれかを実行します。
- 手動でNGINXサーバーを再起動またはリロードします。
- Cloud Gate CORS設定キャッシュが期限切れになるまで待機します。デフォルトでは、これには最大1時間かかる場合があります。
次に、CORSリクエストに応じてCloud Gateが返すCORSレスポンス・ヘッダーを示します。
- Access-Control-Allow-Origin
- Access-Control-Allow-Methods
- Access-Control-Allow-Headers
- Access-Control-Allow-Credentials
- Access-Control-Max-Age
- Access-Control-Expose-Headers

単純およびプリフライトCORS要求ワークフロー

Cross-Origin Resource Sharing (CORS)リクエストワークフローの概要。

簡易CORS要求ワークフロー

リクエストは、オリジン・リクエスト・ヘッダーの存在によってCORSリクエストとして識別されます。
必要に応じて(キャッシュの有効期限など)、Cloud Gate CORS設定はIAMのアイデンティティ・ドメインからダウンロードされます。
Cloud Gateはリクエストを処理します。リクエストを拒否するか、アップストリーム・アプリケーション・サーバーを介してリクエストを許可します。
レスポンスが返される前に、Cloud GateはCloud Gate CORS設定で定義されたCORSを適用します。
1. Cloud Gateは常に、Varyレスポンス・ヘッダーがレスポンスの一部であり、オリジン・ヘッダーが含まれていることを確認します。これは、CORS以外のリクエストでも発生します。
2. cloudGateCorsEnabledがfalseの場合、処理はここで停止します。レスポンスはそのまま返されます。
3. Cloud Gateは、許可されたオリジンの構成済リストを使用して、オリジンが許可されていることを確認します。
  オリジンが許可されていない場合、サポートされているすべてのCORSレスポンス・ヘッダーがレスポンスから削除され、処理が終了します。
4. Access-Control-Allow-Originレスポンス・ヘッダーが追加され、オリジン・リクエスト・ヘッダーの値に構成されます。
5. Access-Control-Allow-Credentialsレスポンス・ヘッダーが追加され、trueに構成されます。
6. Access-Control-Expose-Headersは、cloudGateCorsExposedHeaders値とレスポンスで返されるヘッダーのリストの間の交差に構成されます。
7. Access-Control-Allow-Methods、Access-Control-Allow-HeadersおよびAccess-Control-Max-Age Response Headersがレスポンスから削除されます。
Cloud Gateはレスポンスを返します。

ノート

Cloud Gateは、アップストリーム・アプリケーション・サーバーによって設定されている場合、Access-Control-Allow-OriginおよびAccess-Control-Allow-Credentials Responseヘッダーを上書きします。

プリフライトCORS要求ワークフロー

リクエストは、オリジン・リクエスト・ヘッダーの存在によってCORSリクエストとして識別されます。
必要に応じて(キャッシュの有効期限など)、Cloud Gate CORS設定はIAMのアイデンティティ・ドメインからダウンロードされます。
リクエストは、オリジン・リクエスト・ヘッダーに加えて、OPTIONSメソッドおよびAccess-Control-Request-Methodリクエスト・ヘッダーによって、プリフライトCORSリクエストとして識別されます。
cloudGateCorsEnabledがtrueの場合、アプリケーションはCORSを実装できるように、リクエストはアップストリーム・アプリケーション・サーバーに移動できます。
cloudGateCorsEnabledがfalseの場合、古いisCorsAllowed Web層ポリシー設定は引き続き適用されます(リクエスト処理の直後)。
Cloud Gateからレスポンスが返される前に、CORSはCloud Gate CORS設定で定義されたとおりに適用されます。
1. Cloud Gateは常に、Varyレスポンス・ヘッダーがレスポンスの一部であり、オリジン・ヘッダーが含まれていることを確認します。これは、nonCORSリクエストでも発生します。
2. cloudGateCorsEnabledがfalseの場合、処理はここで停止します。レスポンスはそのまま返されます。
3. Cloud Gateは、許可されたオリジンの構成済リストを使用して、オリジンが許可されていることを確認します。
  オリジンが許可されていない場合、サポートされているすべてのCORSレスポンス・ヘッダーがレスポンスから削除され、処理が終了します。
4. Access-Control-Allow-Originレスポンス・ヘッダーが追加され、オリジン・リクエスト・ヘッダーの値に構成されます。
5. Access-Control-Allow-Credentialsレスポンス・ヘッダーが追加され、trueに構成されます。
6. アップストリーム・アプリケーション・サーバーがAccess-Control-Allow-Methodsレスポンス・ヘッダーを追加しなかった場合、Cloud Gateはその値を次のように構成します。
  - レスポンス・ヘッダーの許可がレスポンスに含まれている場合、Cloud Gateはその値を使用します。
  - Access-Control-Request-Methodリクエスト・ヘッダーがリクエストで見つかった場合、Cloud Gateはその値を使用します。
7. アップストリーム・アプリケーション・サーバーがAccess-Control-Allow-Headersレスポンス・ヘッダーを追加しなかった場合、Cloud Gateはリクエスト内のAccess-Control-Request-Headersリクエスト・ヘッダーの値(存在する場合)を使用します。
8. cloudGateCorsMaxAgeがゼロより大きい値に構成されている場合、Access-Control-Max-Ageレスポンス・ヘッダーが追加され、最大経過時間の値に構成されます。cloudGateCorsMaxAge値が0以下の場合、Access-Control-Max-Ageレスポンス・ヘッダーに対してアクションは実行されません。
9. Access-Control-Expose-Headersレスポンス・ヘッダーが削除されます。Preflight Responsesには適用されません。
Cloud Gateはレスポンスを返します。

Oracle Cloud Infrastructureドキュメント