【Rails】RailsでCORSとPreflight requestの設定を行う方法

はじめに

RailsアプリをAPIサーバーとして構築するには、CORS (Cross-Origin Resource Sharing)と Preflight requestの設定を行う必要があります。APIサーバーは外部からの要求に対して処理を行うため、要求元の正当性を担保しておかなければ攻撃を受けるリスクがあります。要求元の正当性を担保するための方法がCORSとPreflight requestというわけです。

本記事では、Rails (APIサーバー)にCORSとPreflight requestを設定する方法について説明します。

CORSの設定

CORSについて

CORS (Cross-Origin Resource Sharing)とはオリジン間リソース共有のことです。オリジンとは、URLのスキーム(プロトコル)、ホスト(ドメイン)、ポートを組み合わせたものです。例えばhttps://autovice.jpというURLの場合、https://がスキーム(プロトコル)、autovice.jpがホスト(ドメイン)、ポートは80(省略した場合のデフォルト値)になります。

以下はhttps://autovice.jpと比較して同一オリジンかどうかの例です。

オリジン 同一オリジン 理由
https://autovice.jp はい スキーム(プロトコル)、ホスト(ドメイン)、ポートすべてが一致
http://autovice.jp いいえ スキーム(プロトコル)が異なる
https://api.autovice.jp いいえ ホスト(ドメイン)が異なる
https://autovice.jp:8080 いいえ ポートが異なる

オリジン間リソース共有とは、同一オリジンでない同士でリソースを共有するための設定です。例えば、https://autovice.jphttps://api.autovice.jpでリソースを共有したい場合、両者は同一オリジンではないのでCORSの設定を行う必要があります。

もしCORSの設定を行わずにリソースの共有(https://autovice.jpからhttps://api.autovice.jpへGET要求を行うなど)を行うと、以下のエラーが表示されます。

Access to XMLHttpRequest at 'https://api.autovice.jp' from origin 'https://autovice.jp' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

オリジン 'https://autovice.jp' からの 'https://api.autovice.jp' での XMLHttpRequest へのアクセスは、CORS ポリシーによってブロックされました。要求されたリソースに 'Access-Control-Allow-Origin' ヘッダーが存在しません。

RailsでCORSの設定を行う

RailsでCORSの設定を行うには、Gemを使う方法と使わない方法があります。どちらの方法でも簡単に設定できますが、Gemを使う方法のほうが柔軟性が高いのでおすすめです。

Gemを使う方法

rack-corsというGemを使用します。

Gemfileに以下を追記してbundle installを行います。

Gemfile

gem 'rack-cors'

rack-corsはRailsの設定ファイルでCORSの設定を行います。以下はCORSの初期化ファイルを追加した場合の例です。

config/initializers/cors.rb

Rails.application.config.middleware.insert_before 0, Rack::Cors do
  allow do
    origins 'https://autovice.jp', 'http://localhost:3000'
    resource '*', methods: :any, headers: :any
  end
end

originsはいくつでも設定することができます。通常、本番環境と開発環境ではオリジンが異なるので、両方設定しておくことをおすすめします。

resourceは設定したオリジン以下のパスを指定します。例えばAPIのエントリーポイントがhttps://autovice.jp/api/だとすると、resouceには/api/*と設定します。resourceを複数設定したい場合は、行を追加してresourceキーワードを指定した上で別の値を設定します。また、resourceごとに許可するHTTPメソッド(methods)とHTTPヘッダー(headers)を指定することができます。

config/initializers/cors.rb

Rails.application.config.middleware.insert_before 0, Rack::Cors do
  allow do
    origins 'https://autovice.jp', 'http://localhost:3000'
    resource '/api/*',
      methods: [:get, :post, :put, :patch, :delete],
      headers: :any
    resource '/public', methods: :get, headers: :any
  end
end

Gemを使わない方法

CORSの初期化ファイルを追加し、以下を記述します。

config/initializers/cors.rb

Rails.application.configure do
  config.action_dispatch.default_headers = {
    'Access-Control-Allow-Origin' => 'https://autovice.jp',
    'Access-Control-Request-Methods' => '*',
    'Access-Control-Request-Headers' => '*'
  }
end

こちらの方法だと複数のオリジンを設定できないため、本番環境と開発環境で設定を分ける必要があります。CORSの初期化ファイルではなく、各環境の設定ファイルでCORSの設定を行うように変更します。

config/emvironments/production.rb

  config.action_dispatch.default_headers = {
    'Access-Control-Allow-Origin' => 'https://autovice.jp',
    'Access-Control-Request-Methods' => '*',
    'Access-Control-Request-Headers' => '*'
  }

config/emvironments/development.rb

  config.action_dispatch.default_headers = {
    'Access-Control-Allow-Origin' => 'http://localhost:3000',
    'Access-Control-Request-Methods' => '*',
    'Access-Control-Request-Headers' => '*'
  }

Preflight requestの設定

Preflight requestについて

Preflight requestとは、サーバーがCORSの設定を行っており、オリジン間リソース共有ができる状態になっているかを確認するリクエストのことです。HTTPクライアントのaxiosはオリジン間リソース共有を行う際、事前にPreflight requestを送信しサーバーの状態を確認します。

Preflight requestを受け取る可能性のあるサーバーは、Preflight requestに対するレスポンスを返すようにしておく必要があります。サーバーがPreflight requestに対するレスポンスを返すようになっていない場合、以下のようなエラーが表示されます。

The request was redirected to 'https://autovice.jp/api/v1/articles', which is disallowed for cross-origin requests that require preflight

リクエストは 'https://autovice.jp/api/v1/articles' にリダイレクトされました。これはプリフライトを必要とするクロスオリジンリクエストでは許可されません。

Railsの場合は以下のようなエラーが表示されます。

ActionController::RoutingError (No route matches [OPTIONS] "/api/v1/articles")

Preflight requestはOPTIONSというHTTPメソッドで送信されてきます。サーバーがOPTIONSにマッチするルーティングを設定してないというエラー内容です。

RailsでPreflight requestの設定を行う

Preflight requestに対するレスポンスを返す処理を追加します。

app/controllers/options_request_controller.rb

class OptionsRequestController < ApplicationController
  ACCESS_CONTROL_ALLOW_HEADERS = %w(Origin Content-Type Accept Authorization Token Auth-Token Email X-User-Token X-User-Email).freeze
  ACCESS_CONTROL_ALLOW_METHODS = %w(GET POST PUT PATCH DELETE OPTIONS).freeze
  ACCESS_CONTROL_MAX_AGE = 86_400

  def response_preflight_request
    response.headers['Access-Control-Allow-Origin'] = '*'
    response.headers['Access-Control-Allow-Headers'] = ACCESS_CONTROL_ALLOW_HEADERS.join(',')
    response.headers['Access-Control-Allow-Methods'] = ACCESS_CONTROL_ALLOW_METHODS.join(',')
    response.headers['Access-Control-Max-Age'] = ACCESS_CONTROL_MAX_AGE
    head :ok
  end
end

許可するHTTPメソッドやHTTPヘッダーは必要に応じて制限してください。Access-Control-Max-Ageを設定することで、同じURLに対するリクエストをキャッシュしておくことができます。

次に、OPTIONSにマッチするルーティングを追加します。

config/routes.rb

  match '*path' => 'options_request#response_preflight_request', via: :options

まとめ

最近はWebアプリもマイクロサービス化しており、クライアントサーバーとAPIサーバーが分かれている構成が増えています。そのような構成では、APIサーバーでCORSとPreflight requestの設定を行っておく必要があります。

本記事を参考にして、CORSとPreflight requestの設定を行っていただければと思います。

関連記事

【Rails】Paranoiaを使用した論理削除(ソフトデリート)
# はじめに Paranoiaは、Railsアプリケーションで論理削除(ソフトデリート)を実現するためのGemです。 論理削除は、データベースのレコードを物理的に削除するのではなく、削除フラグを設定することで「削除済み」とみなす方法です。こ [...]
2024年7月20日 21:33
【Rails】activerecord-multi-tenantを使用したマルチテナントアプリケーションの作成
# はじめに マルチテナントアプリケーションでは、複数の顧客(テナント)が同じアプリケーションを利用するため、データの分離が必要です。 activerecord-multi-tenantは、このようなマルチテナント環境をサポートするための便 [...]
2024年7月18日 16:50
【Rails】RubyとRailsにおけるattr_reader, attr_writer, attr_accessorの概念と使用方法
# はじめに RubyとRailsの開発において、`attr_reader`,`attr_writer`,`attr_accessor`は非常に便利なメソッドです。これらは、クラス内でインスタンス変数に対するゲッターおよびセッターメソッドを簡単に [...]
2024年7月17日 18:11
【Rails】RubyとRailsにおけるyieldの概念と使用方法
# はじめに RubyとRailsにおける`yield`は、メソッドやテンプレートの中で動的にコードブロックを実行する能力を提供し、これによってコードの再利用性と拡張性が大幅に向上します。本記事では、RubyとRailsにおける`yield`の概 [...]
2024年7月17日 13:15
【Rails】AASMを使用してオブジェクトの状態遷移を効率的に管理
# はじめに Railsアプリケーションにおいて、オブジェクトの状態管理は重要な課題の一つです。AASM (Acts As State Machine) gemは、複雑な状態遷移を効率的に管理します。本記事では、AASMの基本的な使い方を解説して [...]
2024年7月16日 18:00
【Rails】RSpec + Swagger + rswagでアプリケーションのAPIをテストおよびドキュメント化する方法
# はじめに Railsアプリケーションの開発において、APIのテストとドキュメント化は重要な要素です。 RSpecはテストフレームワークとして広く利用されており、SwaggerはAPIの設計とドキュメント化を支援します。これらを統合するr [...]
2024年7月16日 14:27
【Rails】mailcatcherを使用して開発環境でメール送信をテストする方法
# はじめに mailcatcherは、開発環境でのメール送信をキャプチャするためのツールです。ローカルで送信されたメールをブラウザ上で簡単に確認できるようにします。mailcatcherをRailsアプリケーションで使用する方法について説明しま [...]
2024年7月15日 16:37
【Rails】impressionistを使用してページビューやクリック数を追跡する方法
# はじめに impressionist Gemを使用してRailsアプリケーションでページビューやクリック数を追跡する方法について説明します。 # 実装方法 ## impressionist Gemのインストール まず、impre [...]
2024年7月15日 14:18