APIのCORS対応について

カテゴリ: API共通

お世話になっております。スマレジAPIをバックエンドのサーバーではなく、フロントエンドのブラウザーから直接叩くようにしたいと考えています。

しかしながら、スマレジAPIサーバーのHTTPリスポンスにおいては、現状Access-Control-Allow-Originのヘッダーがセットされないため、オリジン間リソース共有にひっかかり、APIを叩くことができません。(アプリのサーバードメイン)->(スマレジAPIのドメイン)となるためです。

今後このAccess-Control-Allow-Originのヘッダーを追加する予定などはございますでしょうか?

答え

  • @Naoto

    サーバーを経由しないAPIのコールはユーザーアクセストークンを用いたネイティブアプリ上の実行を想定しており、SPAなどからのコールは対応しておりません。


    しかし、@Naoto 様のようなユースケースがあるということですので、SPAからなどのコールも検討させていただきます。

    セキュリティの問題がございますので、非対応となる可能性がありますが、その時はご容赦頂ますようお願いいたします。

  • @スマレジ保坂

    ご回答ありがとうございます。やはりセキュリティ面での懸念からAccess-Control-Allow-Originを設定していないとのこと、承知致しました。

    私どもの方のユースケースではAccess-Control-Allow-Originがないとアプリ機能が実装できない、というものではございませんので、非対応のままでも構いません。ご検討いただき、誠にありがとうございました!