APIのCORS対応について
お世話になっております。スマレジAPIをバックエンドのサーバーではなく、フロントエンドのブラウザーから直接叩くようにしたいと考えています。
しかしながら、スマレジAPIサーバーのHTTPリスポンスにおいては、現状Access-Control-Allow-Originのヘッダーがセットされないため、オリジン間リソース共有にひっかかり、APIを叩くことができません。(アプリのサーバードメイン)->(スマレジAPIのドメイン)となるためです。
今後このAccess-Control-Allow-Originのヘッダーを追加する予定などはございますでしょうか?
答え
@Naoto
サーバーを経由しないAPIのコールはユーザーアクセストークンを用いたネイティブアプリ上の実行を想定しており、SPAなどからのコールは対応しておりません。
しかし、@Naoto 様のようなユースケースがあるということですので、SPAからなどのコールも検討させていただきます。
セキュリティの問題がございますので、非対応となる可能性がありますが、その時はご容赦頂ますようお願いいたします。
@スマレジ保坂 様
ご回答ありがとうございます。やはりセキュリティ面での懸念からAccess-Control-Allow-Originを設定していないとのこと、承知致しました。
私どもの方のユースケースではAccess-Control-Allow-Originがないとアプリ機能が実装できない、というものではございませんので、非対応のままでも構いません。ご検討いただき、誠にありがとうございました!