SlimでJSONを返す際のCORSの記述

投稿日 2019年8月3日
著者アルム＝バンド
カテゴリー Slim
カテゴリープログラム

PHPフレームワークのSlimを使う機会があったのでメモ。やりたかったこととしては、AJAX通信によるJSONのAPIを実装すること。以前Abu al-Haulの際にDietCakeを使った時と同じような形です。ちなみに、Slimに関してはSlimそのままではなく、slimphp/Slim-Skeletonを使用しています。今回は「composer startでlocalhost:8080でAPI側が待ち受けており、そこにlocalhostのJSからAJAXでリクエストが飛んでくる」という状況を想定しています。その上でsrc/route.phpに以下のような記述を追加。

<?php

use Slim\App;
use Slim\Http\Request;
use Slim\Http\Response;

return function (App $app) {
    $container = $app->getContainer();

    $app->get('/', function (Request $request, Response $response, array $args) use ($container) {
        $response = $response
            ->withHeader('Access-Control-Allow-Origin', 'http://localhost') //リクエスト元のオリジン
            ->withHeader('Access-Control-Allow-Headers', 'X-Requested-With, Content-Type, Accept, Origin, Authorization')
            ->withHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, PATCH, OPTIONS');
    });
};

Slimのドキュメントそのままですが、これでCORSをクリアし、JS側に処理させることができることを確認しました。なお、SlimはwithJsonメソッドがあり、return $response->withJson(<ARRAY>, <HTTP_STATUS_CODE>);という形でJSON形式のレスポンスを返すことができるとのことで、これも楽だなー、と思いました。

余談

    $app->get('/', function (Request $request, Response $response, array $args) use ($container) {
        $response = $response
            ->withHeader('Access-Control-Allow-Origin', 'http://localhost:8080')
            ->withHeader('Access-Control-Allow-Headers', 'X-Requested-With, Content-Type, Accept, Origin, Authorization')
            ->withHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, PATCH, OPTIONS');

CORSのルールをさっぱり忘れていて、途中こんな書き方(Access-Control-Allow-OriginにAPI側のhttp://localhost:8080を記述`)をすると、

Access to XMLHttpRequest at ‘http://localhost:8080/’ from origin ‘http://localhost’ has been blocked by CORS policy: The ‘Access-Control-Allow-Origin’ header has a value ‘http://localhost:8080’ that is not equal to the supplied origin.

で怒られました。さらに、

    $app->get('/', function (Request $request, Response $response, array $args) use ($container) {
        $response = $response
            ->withHeader('Access-Control-Allow-Origin', 'http://localhost:8080 always')
            ->withHeader('Access-Control-Allow-Headers', 'X-Requested-With, Content-Type, Accept, Origin, Authorization')
            ->withHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, PATCH, OPTIONS');

これだと

The ‘Access-Control-Allow-Origin’ header contains multiple values ‘http://localhost:8080 always’, but only one is allowed.

という内容で怒られました。メモ。

参考

この記事を書いた人

アルム＝バンド

フロントエンド・バックエンド・サーバエンジニア。LAMPやNodeからWP、Gulpを使ってejs,Scss,JSのコーディングまで一通り。たまにRasPiで遊んだり、趣味で開発したり。

記事一覧

SlimでJSONを返す際のCORSの記述

目次

余談

参考

この記事を書いた人

アルム＝バンド

CORS の挙動の観察と preflight request の検証

Slim4 Skeleton と ADRパターンのメモ

2019年8月
月	火	水	木	金	土	日
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31