質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.51%
.htaccess

Apacheウェブサーバーにおいて、ディレクトリ単位で設置及び設定を行う設定ファイルを指します。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

CORS

CORSとはCross-Origin Resource Sharingの頭文字をとったもので、ブラウザがオリジン以外のサーバからデータを取得するシステムのことです。

Q&A

解決済

1回答

6487閲覧

BASIC認証をかいくぐってCORSしたい

Fujiman

総合スコア41

.htaccess

Apacheウェブサーバーにおいて、ディレクトリ単位で設置及び設定を行う設定ファイルを指します。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

CORS

CORSとはCross-Origin Resource Sharingの頭文字をとったもので、ブラウザがオリジン以外のサーバからデータを取得するシステムのことです。

0グッド

4クリップ

投稿2019/05/01 05:22

編集2023/04/07 13:50

以下の質問を読んでて、こうやればできるのでは?と思ってたことを
本当にやったら、できなかったので改めて解決策を質問させてください
元質問

##概要

BASIC認証配下のファイルのテキストデータを外部ドメインから取得したい


レスポンス側サーバー:Apache2.x (SSL)

root/

├ testBASIC

├ .htaccess ├ .htpasswd ├ secret.data

リクエスト側サーバー:Apache2.x

root/

├ testFolder

├ indexBASIC.html

.htaccess
<Files ~ "^.(htaccess|htpasswd)$"> deny from all </Files> AuthUserFile /home/users/0/****/web/testBASIC/.htpasswd AuthGroupFile /dev/null AuthName "Please enter your ID and password" AuthType Basic require valid-user Header append Access-Control-Allow-Origin: http://[リクエスト側ドメイン].jp Header append Access-Control-Allow-Headers: authorization
indexBASIC.html

JavaScript

1 $.ajax({ 2 beforeSend: function (xhr) { 3 xhr.overrideMimeType('text/html;charset=UTF-8'); 4 xhr.setRequestHeader ("Authorization", "Basic " + btoa('myUser:myPass')); 5 }, 6 url: 'https://[レスポンス側ドメイン]/testBASIC/secret.data', 7 type: 'GET' 8 }).done((data, textStatus, jqXHR) => { 9 console.log(data); 10 }).fail((jqXHR, textStatus, errorThrown) => { 11 console.log('エラーは:' + jqXHR.status); 12 })

ブラウザで直に'https://[レスポンス側ドメイン]/testBASIC/secret.data'にアクセスして
ID/Pass入力すれば問題なくデータが表示されます
しかしリクエスト側サーバーのindexBASIC.htmlにアクセスした場合のhttpヘッダの様子は
以下の画像のになります

リクエストヘッダに"Authorization"を追加しているので
preflightが飛んでると思うのですがその時点でアウトになってしまってるようで
ajaxのfailハンドラの出力は”エラーは0”となってて
本リクエストの送信はされていないようです

レスポンス側の.htaccessにヘッダに追加すればいいかもと思って
上記のようにしてみてるのですが401となってしまいます・・・
どのようにすれば無事にデータファイルにアクセスできるでしょうか?
イメージ説明

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

otolab

2019/05/01 05:35

元記事でwtokunoさんが書いているようにmethods(optionsを追加)、allow-headers(authorizationを追加)などの調整が必要ですね。 > サーバ側でプリフライトリクエストを適切に処理し、 > Access-Control-Allow-Methods、Access-Control-Allow-Headersなどのヘッダを含む > 適切なレスポンスを返してください。
Fujiman

2019/05/01 05:50

ありがとうございます。 実は上記のhtaccessの記述が「プリフライトを適切に処理」だと思っていたのですが やはり蹴られてしまいます。この状態で、GoogleChromeでアクセスすると 以下のようなエラーメッセージとなりカスタムのヘッダのことより Allow-Originのヘッダが返ってきていないというものになってしまってます。 上記の記述方法ではプリフライトの段階でのレスポンスヘッダに含めることが できていないのでしょうか? Chromeコンソールのエラーメッセージ Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
guest

回答1

0

ベストアンサー

プリフライトを飛ばしてしまうと、プリフライトリクエストには認証情報は乗らないので、プリフライト自体がBASIC認証で弾かれてしまいます。なので、プリフライトが飛ばないようにリクエストを組む必要があります。
そのためには、Authorizationヘッダを手でつけるのではなく、XMLHttpRequestのオプションでBASIC認証のIDとパスワードを指定します。jQueryの場合は、プロパティusernameおよびpasswordを指定します。
これに加えて、withCredentialsプロパティを指定する必要があります。

JavaScript

1 $.ajax({ 2 beforeSend: function (xhr) { 3 xhr.overrideMimeType('text/html;charset=UTF-8'); 4 // xhr.setRequestHeader ("Authorization", "Basic " + btoa('myUser:myPass')); // これは不要 5 }, 6 username: 'myUser', // これと 7 password: 'myPass', // これを追加 8 xhrFields: { 9 withCredentials: true // これも追加 10 }, 11 url: 'https://[レスポンス側ドメイン]/testBASIC/secret.data', 12 type: 'GET' 13 }).done((data, textStatus, jqXHR) => { 14 console.log(data); 15 }).fail((jqXHR, textStatus, errorThrown) => { 16 console.log('エラーは:' + jqXHR.status); 17 })

これだけだとうまくいきません。withCredentialsプロパティをtrueにした場合は、下記のようにAccess-Control-Allow-Credentialsとしてtrueを返す必要があります。一方、Access-Control-Allow-Headers: authorization は必要ありません。

## .htaccess 途中から Header append Access-Control-Allow-Origin: http://[リクエスト側ドメイン].jp ## Header append Access-Control-Allow-Headers: authorization ## これはなくてもよい Header append Access-Control-Allow-Credentials: true

投稿2019/05/01 08:19

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Fujiman

2019/05/01 09:37

ありがとうございます! ドメイン越しにデータの取得ができました。 PreFlightの時点で蹴られている理由がわからずお手上げ状態でしたが その時のリクエストには認証情報が乗らないというのにはびっくりしました。 たしかに、まだOKかNGかわからない段階で認証情報も一緒に渡すのは不合理かもしれません。 またあわせて「プリフライトが飛ばないようにリクエストを組む」方法も詳しく教えていただき たすかりました。おそらくこの件も自分で解決できるかどうかわからないものでした。
Legged8678

2023/04/07 04:00 編集

(Twitterでは失礼いたしました) 「プリフライトを飛ばしてしまうと、プリフライトリクエストには認証情報は乗らないので、プリフライト自体がBASIC認証で弾かれてしまいます。なので、プリフライトが飛ばないようにリクエストを組む必要があります。」と記載がありますが、 ajaxの'username', 'password' を利用したBASIC認証が存在するページへのリクエスト送信の場合でも、`withCredentials`をtrueにする必要はあるのでしょうか? また、上記前提条件においては資格情報の送信に当たらず、Access-Control-Allow-Credentialsをtrueに設定する必要もないのではないかと考えています。
ockeghem

2023/04/07 04:50

MDNの以下のページには、以下のように記載されています。 > XMLHttpRequest.withCredentials プロパティは論理値で、サイト間の Access-Control リクエストが Cookie、認証ヘッダー、 TLS クライアント証明書などの資格情報を使用して行うべきかどうかを示します。 日本語訳だと「認証ヘッダー」となっていてわかりにくいですが、英語版だと「credentials such as cookies, authorization headers or TLS client certificates」となっていて、Authorizationヘッダの場合もwithCredentialsプロパティが必要となっています。実験してみても、.withCredentials=trueがあればAuthorizationヘッダが送信され、そうでない場合、Authorizationヘッダは送信されません。 また、同様の理由で「Access-Control-Allow-Credentialsをtrueに設定する必要」があります。 信じられないようでしたら、ご自身の環境で試して見られたらと思います。私は、この機会にあらためて試しました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.51%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問