コンテキストタイプCORSのHTTP許可リストとログなしリストを変更します。
コンテクスト
クロスオリジンリソースシェアリング(CORS)は、クエリを最初に送信したWebページのドメイン以外のドメインからサーバーに送信されたクエリを管理するための概念です。CORSは、クロスオリジンクエリが許可されているかどうかを判断するためにWebページがサーバーと対話する方法を定義します。
CORSクエリは、次の2つの方法で送信できます。
-
単純なクエリとしてのCORS
単純なクエリは、メソッドGET、HEAD、またはPOSTを使用します。これには、 http://example.comなどのクエリの元のドメインを指定するヘッダーOriginが含まれています。応答として、サーバーはAccess ControlAllowOriginヘッダーを送信します。
- プリフライトクエリとしてのCORS
一方、プリフライトクエリは、メソッドOPTIONSとOriginヘッダーを使用して、最初にHTTP呼び出しを送信します。これにより、問題のクエリを安全に送信できるかどうかがチェックされます。
サーバーは常にAccessControlAllow Originヘッダーで応答し、許可されるメソッドを指定します(定義されている場合)。
CORSクエリでは、通常、次の応答ヘッダーにのみアクセスできます。
サーバーがクライアントに追加のヘッダーへのアクセスを許可する場合は、 [公開されたヘッダー]オプションを使用する必要があります。
前提条件
この機能を使用できるようにするには、ABAPシステムでCORSサポートを有効化する必要があります。
CORSは、配信時にシステムで非アクティブ化されます。CORSを有効にするには、トランザクションRZ11に移動し、システムパラメータicf / cors_enabledを1に設定します(デフォルトは0)。
手順
コンテキストタイプCORSのHTTP許可リストとログなしリストを変更するには、次の手順を実行します。
- UCON HTTP許可リストツール(トランザクション
UCONCOCKPIT HTTP許可リストシナリオ)で、コンテキストタイプを選択しますCross-Origin Resource Sharing(コンテキストタイプ選択 実行またはコンテキストタイプをダブルクリックします)。 - Logged HTTP Allowlist Checks画面領域で、選択したログエントリのTo Allowlistを選択して、対応するURLパターンをallowlistに追加します。選択したサービスパスのデータと関連する元のホスト名を含むダイアログボックスが表示されます。
- <Allowed Methods>セクションで、パターンが有効なHTTPメソッドを指定するメソッドを選択します。次の方法を選択できます。
- <Allowed Headers>フィールドで、クエリでさらにヘッダーを許可するかどうかを指定します。そうである場合は、コンマで区切って入力してください。
- <Optional Response Header>フレームで、追加の<exposed headers>にアクセスできるようにするか(コンマで区切る)、(Preflightクエリの場合)ユーザーログオンデータを許可するかどうか(<Allow Credentials>)を指定できます。プリフライトクエリの場合、応答をキャッシュできる最大秒数(<Max。Age>)を指定することもできます(デフォルトは60)。
- ENTERを選択して、エントリを確認します。追加したエントリは、画面右上の[許可リスト]領域に表示されます。
- 上記の手順を繰り返して、 [ログなしリストへ]を選択して、ログなしリストにログエントリを追加します。
追加したエントリは、画面右下の[ログなしリスト]領域に表示されます。
- エントリを手動で追加することも、許可リストとログなしリストの両方で既存のエントリを編集または削除することもできます。
- [保存]を選択して、許可リストまたはログなしリストへの変更をアクティブにします。
