DataAPICORSAllowOrigin
Web ブラウザの JavaScript を利用して外部のサイトから Data API にアクセスした場合、Web ブラウザのセキュリティ上の仕様でデフォルトではデータを取得することができません。DataAPICORSAllowOrigin にデータの取得を許可するアクセス元のサイトのオリジンを指定すると、アクセスの許可に必要な情報を設定します。
* (アスタリスク) か、, (カンマ) 区切りで複数のオリジンを指定することができます。
* (アスタリスク) を指定するとすべてのサイトからのアクセスを許可する意味になり、どのサイトからもデータを取得することができるようになります。 (Access-Control-Allow-Origin ヘッダとして * (アスタリスク) が返されます。)
DataAPICORSAllowOrigin *
, (カンマ) 区切りで複数のオリジンを指定すると、指定されたいずれかのオリジンとアクセス元のサイトのオリジンが一致した場合にだけデータを取得することができるようになります。 (Access-Control-Allow-Origin ヘッダとして一致したオリジンが返されます。)
DataAPICORSAllowOrigin http://www.example.com, http://beta.example.com
IE8 や IE9 の XDomainRequest で外部のサイトからリソースを取得するためには Access-Control-Allow-Origin ヘッダだけでなく XDomainRequestAllowed ヘッダを返す必要がありますが、Movable Type は Access-Control-Allow-Origin ヘッダを返す場合には常に XDomainRequestAllowed ヘッダとして 1 を返すので、XDomainRequest を利用している場合でもこの環境変数を設定することで外部のサイトからデータを取得することができるようになります。
オリジンは「スキーム」「ホスト名」「ポート」の 3 つの要素で構成される情報で、以下のようなフォーマットで指定することができます。 (必ず http:// や https:// から始める必要があります。)
- http://www.example.com
- https://www.example.com
- http://www.example.com:81
オリジンは 3 つの要素のすべて一致する場合に「同じオリジン」であると判断されますので、* (アスタリスク) を使わず個別に指定をする場合には http と https の違いなどに気をつける必要があります。 (上の 3 つの指定例はすべて異なるオリジンになります。)
この環境変数には初期設定値はありません (外部のサイトからデータを取得することはできません) 。