Q&A
以下の構成でAPIサーバーを作っています
・ PC ・・・ WEBアプリ。AngularベースでデータはAPIで取得。APIアクセスのドメインはwebアプリのドメインと同一。
・ SP ・・・ Cordovaベースのハイブリットアプリ。同じくAPIでデータ取得。ハイブリットアプリなので、APIとドメインは異なる
上記のような構成にしているとき、CORSのAccess-Control-Allow-Originにはどのように設定するのが良いのでしょうか? * のワイルドカード全指定しかないのでしょうか?
CORS関連にあまり精通していなく...セキュリティ関連に詳しい方ご教示いただけませんでしょうか?
回答1件
0
ベストアンサー
上記のような構成にしているとき、CORSのAccess-Control-Allow-Originにはどのように設定するのが良いのでしょうか? * のワイルドカード全指定しかないのでしょうか?
その「構成」で可能かどうかわかりませんが、* とするのにセキュリティ的に不安があるなら、(1) 要求ヘッダに含まれる origin の設定を見て、(2) アクセスを許可するか否かを判断し、(3) アクセス許可ならその origin 設定を Access-Control-Allow-Origin に設定する・・・というのはいかがですか?
投稿2017/10/04 03:15
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/10/05 05:21