Rails API CORS設定に関して上手く発動していない気がします。POSTMAN等のAPIクライアントで叩けてしまう。

ruby
1# cors.rb
2
3Rails.application.config.middleware.insert_before 0, Rack::Cors do
4  allow do
5    origins 'localhost:3005','https://teratailthanks.com'
6
7    resource '*',
8      headers: :any,
9      methods: [:get, :post, :put, :patch, :delete, :options, :head]
10  end
11end
12

例えば上記のようなCORS設定だったとします。

聞きたいこと

上記の書き方はlocalhost:3005とhttps://teratailthanks.comからしかエンドポイントを叩けないということであっていますでしょうか？

ただlocalhost:3000でローカルサーバーを立ち上げてPostmanにてAPIリクエストをしたところ
エラーも出ずにしっかりと期待されるレスポンスが返ってきてしまいました。
なぜなのでしょうか。。。

宜しくお願い致します。

行動規範の内容に同意します

回答1件

ベストアンサー

CORSは、ブラウザJavaScriptでの挙動を制御するものです。

ブラウザでないツールからや、ブラウザ内でもフォーム遷移する場合など、ブラウザJavaScriptと関係しないアクセスの場合は、CORSヘッダがあろうが何の意味も持ちません。

投稿2021/07/26 22:41

maisumakun

総合スコア146018

maisumakun

2021/07/26 22:44

https://developer.mozilla.org/ja/docs/Web/HTTP/CORS CORS)は、追加の HTTP ヘッダーを使用して、あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組みです。「ブラウザーに指示する」ものである以上、ブラウザ以外には全く無縁です。

maisumakun

2021/07/26 22:48

> 上記の書き方はlocalhost:3005とhttps://teratailthanks.comからしかエンドポイントを叩けないということであっていますでしょうか？「ブラウザJavaScriptでは」、当該ドメイン以外からAjaxリクエストを行った場合に「結果を得られない」ということです（リクエストを投げてサーバ内で処理する部分まではCORSと関係なく行われます。受け取ったブラウザ側での制限です）。

rzz

2021/07/27 01:12

maisumakun様いつもありがとうございます！なるほど！完全にOrigin側からのアクセスを遮断するものだと思ってました。実はフロント側（練習で別の人間が担当）で画像等のファイル送信のPATCHリクエストのときに、断続的にCORSでワイルドカード指定しているはずなのに CORS エラーが発生してしまいます。この場合原因はフロント側にあると仮定できますでしょうか。 corsエラー + net::ERR_FAILED が出ます。断続的で謎でして。。

maisumakun

2021/07/27 02:00

> この場合原因はフロント側にあると仮定できますでしょうか。できないです。サーバサイドでキャッシュしていたり、プレフライトに正しく応答していなかったり、のような可能性もあります。

行動規範の内容に同意します