クラウドサインでは Web API を JavaScript からもお使いいただきやすいように、 CORS への対応を行いました。
CORS Origin の設定
クラウドサインにログインし、 チーム にアクセスして下さい。
CORS Origin URL の入力欄がありますので、こちらにクラウドサイン Web API を利用するウェブアプリの URL のスキーマとホスト名部分を記入して下さい。(例 https://origin.example.com )
Web API 実行時の挙動
JavaScript でドメインをまたいでクラウドサイン Web API にアクセスをする際には、ブラウザが自動的に以下のヘッダを付与します。
Origin: https://origin.example.com
クラウドサイン Web API は、 Authorization ヘッダの内容をチェックする際に、合わせて Origin ヘッダの内容をチェックします。その際、 Origin ヘッダで値が渡され、その値が2. で設定されたものと同じ場合は正常に処理を続けます。Origin ヘッダに設定されている値が 2. で設定されたものと異なる場合は、 HTTP ステータスとして 400 を返します。
注意事項
クラウドサイン Web API では、まずはアクセストークンを取得してその値を使って各種 API にアクセスいただきます。各種 API は CORS に対応していますが、セキュリティーの観点からアクセストークンの取得だけは CORS 対応しておりません。
参考
CORS とは Cross-Origin Resource Sharing の略で、ブラウザがアクセスしているサイト以外のドメインに存在するリソース(画像・スタイルシート・JavaScript・JSONデータなど)へのアクセスについて策定されているものです。詳細については Cross-Origin Resource Sharing をご参照ください。