home
スポンサーリンク
2015-09-01

Node.js + ExpressへのOPTIONSメソッドの実装

REST APIにアクセスする際に、ブラウザがAPIサーバに対してHTTP(もしくはHTTPS)のOPTIONSメソッドでリクエストを投げることがあります。

本記事では、その現象の解説と、Node.jsでAPIサーバを実装している場合のOPTIONSメソッドへの対応法を記述します。

HTTPのOPTIONSメソッドとは

HTTPで一般に使われるメソッドといえば、GETやPOSTですね。REST APIを頻繁に利用する人ならば、PUTやDELETEも利用したことがあるでしょう。サーバのテストのためにHEADメソッドを利用したことがある人もいるかもしれません。

OPTIONSメソッドは、これらのメソッドのうち、サーバがどのメソッドをサポートしているかを調査するためのメソッドです。

昨今のブラウザでは、フロントエンドJavaScriptから違うドメインへのアクセスに対して、Cross-Origin Resource Sharing(以下、CORSといいます)がサーバ側で許可されている場合を除き、セキュリティ上の問題からアクセスをしない仕様となっています。

そして、ブラウザはCORSを検出した場合、実際のメソッドを投げる前に、OPTIONSメソッドによる検査を実行するような仕様になっています。

つまり、APIサーバの実装には、

  • Cross-Origin Resource Sharingを有効にする(HTTPレスポンスヘッダにAccess-Control-Allow-Origin等の実装)
  • OPTIONSメソッドの実装

の2つが必須ということになります。

案外、この点を説明している資料が少ないように感じますね。

実際のコード

では、実際に実装する方法を以下に記述します。

var express = require('express');
var app = express();

/**
 * Cross-Origin Resource Sharingを有効にする記述(HTTPレスポンスヘッダの追加)
 */
app.use(function (req, res, next) {
  res.header('Access-Control-Allow-Origin', req.headers.origin);
  res.header('Access-Control-Allow-Headers', 'X-Requested-With, X-HTTP-Method-Override, Content-Type, Accept');
  res.header('Access-Control-Allow-Methods', 'POST, GET, PUT, DELETE, OPTIONS');
  res.header('Access-Control-Allow-Credentials', true);
  res.header('Access-Control-Max-Age', '86400');
  next();
});

/**
 * OPTIONSメソッドの実装
 */
app.options('*', function (req, res) {
  res.sendStatus(200);
});

/**
 * あとは処理を記述していく
 */

app.get('/', function (req, res) {
  // 処理
});

app.listen(3000);

以上で終了です。Express、簡単ですね。

なお、OPTIONSメソッドの実装の部分で、

app.options('*', function (req, res) {
  res.send(200);
});

と記述している資料がネット上にいくらかありましたが、こうすると以下のエラーがNode.jsで出力されることがあります。

express deprecated res.send(status): Use res.sendStatus(status) instead app.js:20:7

記述にあるとおり、sendメソッドではなく、sendStatusメソッドを利用しましょう。

まとめ

Node.jsたのしい。

コメントを残す

スポンサーリンク
2015-11-04

EC2のセキュリティグループにCloudFrontからしかアクセスを許可しない設定を追加する(AWS Lambda, SNS, S3利用 サーバーレス版)

本記事投稿日現在、AWSのセキュリティグループの受信許可設定には、IPアドレスの指定および他のセキュリティグループのID指定しか対応していません。つまり、CloudFront経由でしかアクセスさせたくない場合であっても、…
スポンサーリンク
ツイートする
シェアする
オススメする
ブックマークする
購読する