クラス yii\filters\Cors
| 継承 | yii\filters\Cors » yii\base\ActionFilter » yii\base\Behavior » yii\base\BaseObject |
|---|---|
| 実装 | yii\base\Configurable |
| 利用可能バージョン | 2.0 |
| ソースコード | https://github.com/yiisoft/yii2/blob/master/framework/filters/Cors.php |
Cors フィルターはCross Origin Resource Sharingを実装します。
CORS の機能と制約を注意深く読んでください。CORS は API を保護するものではなく、開発者がサードパーティコード(外部ドメインからの ajax 呼び出し)へのアクセスを許可するためのものです。
コントローラーまたはモジュールにビヘイビアとしてアタッチすることで、CORS フィルターを使用できます。以下に例を示します。
public function behaviors()
{
return [
'corsFilter' => [
'class' => \yii\filters\Cors::class,
],
];
}
CORS フィルターは、次のようにパラメーターを制限するように特殊化できます。MDN CORS 情報
public function behaviors()
{
return [
'corsFilter' => [
'class' => \yii\filters\Cors::class,
'cors' => [
// restrict access to
'Origin' => ['http://www.myserver.com', 'https://www.myserver.com'],
// Allow only POST and PUT methods
'Access-Control-Request-Method' => ['POST', 'PUT'],
// Allow only headers 'X-Wsse'
'Access-Control-Request-Headers' => ['X-Wsse'],
// Allow credentials (cookies, authorization headers, etc.) to be exposed to the browser
'Access-Control-Allow-Credentials' => true,
// Allow OPTIONS caching
'Access-Control-Max-Age' => 3600,
// Allow the X-Pagination-Current-Page header to be exposed to the browser.
'Access-Control-Expose-Headers' => ['X-Pagination-Current-Page'],
],
],
];
}
コントローラーに CORS フィルターを追加する方法の詳細については、REST コントローラーに関するガイドを参照してください。
公開プロパティ
| プロパティ | 型 | 説明 | 定義元 |
|---|---|---|---|
| $actions | array | 特定のアクションに対する特定の CORS ルールを定義します。 | yii\filters\Cors |
| $cors | array | CORS 要求に対して処理される基本ヘッダー。 | yii\filters\Cors |
| $except | array | このフィルターを適用しないアクション ID のリスト。 | yii\base\ActionFilter |
| $only | array | このフィルターを適用するアクション ID のリスト。 | yii\base\ActionFilter |
| $owner | yii\base\Component|null | このビヘイビアの所有者 | yii\base\Behavior |
| $request | yii\web\Request|null | 現在のリクエスト。 | yii\filters\Cors |
| $response | yii\web\Response|null | 送信されるレスポンス。 | yii\filters\Cors |
公開メソッド
保護されたメソッド
| メソッド | 説明 | 定義元 |
|---|---|---|
| getActionId() | yii\base\Action::$uniqueIdをモジュールに関連するIDに変換することによって、アクションIDを返します。 | yii\base\ActionFilter |
| headerize() | 任意の文字列(HTTP プレフィックス付きの php ヘッダーを含む)をヘッダー形式に変換します。 | yii\filters\Cors |
| headerizeToPhp() | 任意の文字列(HTTP プレフィックス付きの php ヘッダーを含む)をヘッダー形式に変換します。 | yii\filters\Cors |
| isActive() | 指定されたアクションに対してフィルターがアクティブかどうかを示す値を返します。 | yii\base\ActionFilter |
| prepareAllowHeaders() | 重複コードを避けるために、従来の CORS リクエストを処理します。 | yii\filters\Cors |
プロパティの詳細
CORS 要求に対して処理される基本ヘッダー。
'Origin' => [
'*',
],
'Access-Control-Request-Method' => [
'GET',
'POST',
'PUT',
'PATCH',
'DELETE',
'HEAD',
'OPTIONS',
],
'Access-Control-Request-Headers' => [
'*',
],
'Access-Control-Allow-Credentials' => null,
'Access-Control-Max-Age' => 86400,
'Access-Control-Expose-Headers' => [],
]
現在のリクエスト。設定されていない場合、`request` アプリケーションコンポーネントが使用されます。
送信されるレスポンス。設定されていない場合、`response` アプリケーションコンポーネントが使用されます。
メソッドの詳細
定義先: yii\base\BaseObject::__call()
クラスメソッドではない名前付きメソッドを呼び出します。
これはPHPのマジックメソッドであり、未知のメソッドが呼び出された際に暗黙的に呼び出されるため、直接呼び出さないでください。
| public mixed __call ( $name, $params ) | ||
| $name | string |
メソッド名 |
| $params | array |
メソッドパラメータ |
| 戻り値 | mixed |
メソッドの戻り値 |
|---|---|---|
| 例外 | yii\base\UnknownMethodException |
未知のメソッドを呼び出した場合 |
public function __call($name, $params)
{
throw new UnknownMethodException('Calling unknown method: ' . get_class($this) . "::$name()");
}
定義先: yii\base\BaseObject::__construct()
コンストラクター。
デフォルトの実装では、次の2つのことを行います。
- 指定された設定`$config`を使用してオブジェクトを初期化します。
- init()を呼び出します。
このメソッドを子クラスでオーバーライドする場合は、
- コンストラクタの最後のパラメータが、ここにある`$config`のように設定配列であることをお勧めします。
- コンストラクタの最後に親の実装を呼び出してください。
| public void __construct ( $config = [] ) | ||
| $config | array |
オブジェクトのプロパティを初期化するために使用される名前と値のペア |
public function __construct($config = [])
{
if (!empty($config)) {
Yii::configure($this, $config);
}
$this->init();
}
定義先: yii\base\BaseObject::__get()
オブジェクトプロパティの値を返します。
`$value = $object->property;`を実行した際に暗黙的に呼び出されるPHPのマジックメソッドであるため、直接呼び出さないでください。
__set()も参照してください。
| public mixed __get ( $name ) | ||
| $name | string |
プロパティ名 |
| 戻り値 | mixed |
プロパティの値 |
|---|---|---|
| 例外 | yii\base\UnknownPropertyException |
プロパティが定義されていない場合 |
| 例外 | yii\base\InvalidCallException |
プロパティが書き込み専用の場合 |
public function __get($name)
{
$getter = 'get' . $name;
if (method_exists($this, $getter)) {
return $this->$getter();
} elseif (method_exists($this, 'set' . $name)) {
throw new InvalidCallException('Getting write-only property: ' . get_class($this) . '::' . $name);
}
throw new UnknownPropertyException('Getting unknown property: ' . get_class($this) . '::' . $name);
}
定義先: yii\base\BaseObject::__isset()
プロパティが設定されているかどうか(定義されており、null ではないか)を確認します。
`isset($object->property)`を実行した際に暗黙的に呼び出されるPHPのマジックメソッドであるため、直接呼び出さないでください。
プロパティが定義されていない場合、falseが返されることに注意してください。
| public boolean __isset ( $name ) | ||
| $name | string |
プロパティ名またはイベント名 |
| 戻り値 | boolean |
名前付きプロパティが設定されているかどうか(nullではない)。 |
|---|---|---|
public function __isset($name)
{
$getter = 'get' . $name;
if (method_exists($this, $getter)) {
return $this->$getter() !== null;
}
return false;
}
定義先: yii\base\BaseObject::__set()
オブジェクトプロパティの値を設定します。
`$object->property = $value;`を実行した際に暗黙的に呼び出されるPHPのマジックメソッドであるため、直接呼び出さないでください。
__get()も参照してください。
| public void __set ( $name, $value ) | ||
| $name | string |
プロパティ名またはイベント名 |
| $value | mixed |
プロパティの値 |
| 例外 | yii\base\UnknownPropertyException |
プロパティが定義されていない場合 |
|---|---|---|
| 例外 | yii\base\InvalidCallException |
プロパティが読み取り専用の場合 |
public function __set($name, $value)
{
$setter = 'set' . $name;
if (method_exists($this, $setter)) {
$this->$setter($value);
} elseif (method_exists($this, 'get' . $name)) {
throw new InvalidCallException('Setting read-only property: ' . get_class($this) . '::' . $name);
} else {
throw new UnknownPropertyException('Setting unknown property: ' . get_class($this) . '::' . $name);
}
}
定義先: yii\base\BaseObject::__unset()
オブジェクトプロパティを null に設定します。
`unset($object->property)`を実行した際に暗黙的に呼び出されるPHPのマジックメソッドであるため、直接呼び出さないでください。
プロパティが定義されていない場合、このメソッドは何もしません。プロパティが読み取り専用の場合、例外をスローします。
こちらも参照してください https://www.php.net/manual/en/function.unset.php.
| public void __unset ( $name ) | ||
| $name | string |
プロパティ名 |
| 例外 | yii\base\InvalidCallException |
プロパティが読み取り専用の場合。 |
|---|---|---|
public function __unset($name)
{
$setter = 'set' . $name;
if (method_exists($this, $setter)) {
$this->$setter(null);
} elseif (method_exists($this, 'get' . $name)) {
throw new InvalidCallException('Unsetting read-only property: ' . get_class($this) . '::' . $name);
}
}
レスポンスに CORS ヘッダーを追加します。
| public void addCorsHeaders ( $response, $headers ) | ||
| $response | yii\web\Response | |
| $headers | array |
計算済みのCORSヘッダー |
public function addCorsHeaders($response, $headers)
{
if (empty($headers) === false) {
$responseHeaders = $response->getHeaders();
foreach ($headers as $field => $value) {
$responseHeaders->set($field, $value);
}
}
}
定義場所: yii\base\ActionFilter::afterAction()
このメソッドは、アクションが実行された直後に呼び出されます。
アクションの後処理を行うために、このメソッドをオーバーライドできます。
| public mixed afterAction ( $action, $result ) | ||
| $action | yii\base\Action |
実行されたばかりのアクション。 |
| $result | mixed |
アクションの実行結果 |
| 戻り値 | mixed |
処理されたアクション結果。 |
|---|---|---|
public function afterAction($action, $result)
{
return $result;
}
| public void afterFilter ( $event ) | ||
| $event | yii\base\ActionEvent | |
public function afterFilter($event)
{
$event->result = $this->afterAction($event->action, $event->result);
$this->owner->off(Controller::EVENT_AFTER_ACTION, [$this, 'afterFilter']);
}
定義場所: yii\base\ActionFilter::attach()
ビヘイビアオブジェクトをコンポーネントにアタッチします。
$owner プロパティを設定し、events() で宣言されているイベントハンドラーをアタッチします。このメソッドをオーバーライドする場合は、親の実装を必ず呼び出してください。
| public void attach ( $owner ) | ||
| $owner | yii\base\Component |
このビヘイビアがアタッチされるコンポーネント。 |
public function attach($owner)
{
$this->owner = $owner;
$owner->on(Controller::EVENT_BEFORE_ACTION, [$this, 'beforeFilter']);
}
このメソッドは、アクションが実行される直前に(可能なすべてのフィルターの後)呼び出されます。アクションの準備を最終的に行うために、このメソッドをオーバーライドできます。
| public boolean beforeAction ( $action ) | ||
| $action | yii\base\Action |
実行されるアクション。 |
| 戻り値 | boolean |
アクションの実行を継続するかどうか。 |
|---|---|---|
public function beforeAction($action)
{
$this->request = $this->request ?: Yii::$app->getRequest();
$this->response = $this->response ?: Yii::$app->getResponse();
$this->overrideDefaultSettings($action);
$requestCorsHeaders = $this->extractHeaders();
$responseCorsHeaders = $this->prepareHeaders($requestCorsHeaders);
$this->addCorsHeaders($this->response, $responseCorsHeaders);
if ($this->request->isOptions && $this->request->headers->has('Access-Control-Request-Method')) {
// it is CORS preflight request, respond with 200 OK without further processing
$this->response->setStatusCode(200);
return false;
}
return true;
}
| public void beforeFilter ( $event ) | ||
| $event | yii\base\ActionEvent | |
public function beforeFilter($event)
{
if (!$this->isActive($event->action)) {
return;
}
$event->isValid = $this->beforeAction($event->action);
if ($event->isValid) {
// call afterFilter only if beforeFilter succeeds
// beforeFilter and afterFilter should be properly nested
$this->owner->on(Controller::EVENT_AFTER_ACTION, [$this, 'afterFilter'], null, false);
} else {
$event->handled = true;
}
}
定義場所: yii\base\BaseObject::canGetProperty()
プロパティを読み取ることができるかどうかを示す値を返します。
プロパティは、以下の場合に読み取り可能です。
- クラスに、指定された名前(この場合、プロパティ名は大文字小文字を区別しません)に関連付けられたゲッターメソッドがある場合。
- クラスに、指定された名前のメンバ変数がある場合(
$checkVarsがtrueの場合)。
こちらも参照してください canSetProperty().
| public boolean canGetProperty ( $name, $checkVars = true ) | ||
| $name | string |
プロパティ名 |
| $checkVars | boolean |
メンバ変数をプロパティとして扱うかどうか |
| 戻り値 | boolean |
プロパティを読み取ることができるかどうか |
|---|---|---|
public function canGetProperty($name, $checkVars = true)
{
return method_exists($this, 'get' . $name) || $checkVars && property_exists($this, $name);
}
定義場所: yii\base\BaseObject::canSetProperty()
プロパティを設定できるかどうかを示す値を返します。
プロパティは、以下の場合に書き込み可能です。
- クラスに、指定された名前(この場合、プロパティ名は大文字小文字を区別しません)に関連付けられたセッターメソッドがある場合。
- クラスに、指定された名前のメンバ変数がある場合(
$checkVarsがtrueの場合)。
こちらも参照してください canGetProperty().
| public boolean canSetProperty ( $name, $checkVars = true ) | ||
| $name | string |
プロパティ名 |
| $checkVars | boolean |
メンバ変数をプロパティとして扱うかどうか |
| 戻り値 | boolean |
プロパティを書き込むことができるかどうか |
|---|---|---|
public function canSetProperty($name, $checkVars = true)
{
return method_exists($this, 'set' . $name) || $checkVars && property_exists($this, $name);
}
::classを使用してください。
定義場所: yii\base\BaseObject::className()
このクラスの完全修飾名を返します。
| public static string className ( ) | ||
| 戻り値 | string |
このクラスの完全修飾名。 |
|---|---|---|
public static function className()
{
return get_called_class();
}
定義場所: yii\base\ActionFilter::detach()
ビヘイビアオブジェクトをコンポーネントからデタッチします。
$owner プロパティをアンセットし、events() で宣言されているイベントハンドラーをデタッチします。このメソッドをオーバーライドする場合は、親の実装を必ず呼び出してください。
| public void detach ( ) |
public function detach()
{
if ($this->owner) {
$this->owner->off(Controller::EVENT_BEFORE_ACTION, [$this, 'beforeFilter']);
$this->owner->off(Controller::EVENT_AFTER_ACTION, [$this, 'afterFilter']);
$this->owner = null;
}
}
定義場所: yii\base\Behavior::events()
$ownerのイベントのイベントハンドラーを宣言します。
子クラスはこのメソッドをオーバーライドして、$owner コンポーネントのイベントにアタッチするPHPコールバックを宣言できます。
ビヘイビアがオーナーにアタッチされると、コールバックは$ownerのイベントにアタッチされ、ビヘイビアがコンポーネントからデタッチされると、イベントからデタッチされます。
コールバックには、以下のいずれかのものが使用できます。
- このビヘイビア内のメソッド:
'handleClick'、[$this, 'handleClick']と同等 - オブジェクトメソッド:
[$object, 'handleClick'] - 静的メソッド:
['Page', 'handleClick'] - 無名関数:
function ($event) { ... }
以下は例です。
[
Model::EVENT_BEFORE_VALIDATE => 'myBeforeValidate',
Model::EVENT_AFTER_VALIDATE => 'myAfterValidate',
]
| public array events ( ) | ||
| 戻り値 | array |
イベント(配列キー)と対応するイベントハンドラメソッド(配列値)。 |
|---|---|---|
public function events()
{
return [];
}
リクエストから CORS ヘッダーを抽出します。
| public array extractHeaders ( ) | ||
| 戻り値 | array |
処理するCORSヘッダー |
|---|---|---|
public function extractHeaders()
{
$headers = [];
foreach (array_keys($this->cors) as $headerField) {
$serverField = $this->headerizeToPhp($headerField);
$headerData = isset($_SERVER[$serverField]) ? $_SERVER[$serverField] : null;
if ($headerData !== null) {
$headers[$headerField] = $headerData;
}
}
return $headers;
}
定義先: yii\base\ActionFilter::getActionId()
yii\base\Action::$uniqueIdをモジュールに関連するIDに変換することによって、アクションIDを返します。
| protected string getActionId ( $action ) | ||
| $action | yii\base\Action | |
protected function getActionId($action)
{
if ($this->owner instanceof Module) {
$mid = $this->owner->getUniqueId();
$id = $action->getUniqueId();
if ($mid !== '' && strpos($id, $mid) === 0) {
$id = substr($id, strlen($mid) + 1);
}
} else {
$id = $action->id;
}
return $id;
}
定義先: yii\base\BaseObject::hasMethod()
メソッドが定義されているかどうかを示す値を返します。
デフォルトの実装は、PHP関数method_exists()の呼び出しです。PHPマジックメソッド__call()を実装した場合は、このメソッドをオーバーライドできます。
| public boolean hasMethod ( $name ) | ||
| $name | string |
メソッド名 |
| 戻り値 | boolean |
メソッドが定義されているかどうか |
|---|---|---|
public function hasMethod($name)
{
return method_exists($this, $name);
}
定義先: yii\base\BaseObject::hasProperty()
プロパティが定義されているかどうかを示す値を返します。
プロパティは、以下の場合に定義されます。
- クラスに、指定された名前と関連付けられたゲッターまたはセッターメソッドがある場合(この場合、プロパティ名はケースインセンシティブです)。
- クラスに、指定された名前のメンバ変数がある場合(
$checkVarsがtrueの場合)。
参照
| public boolean hasProperty ( $name, $checkVars = true ) | ||
| $name | string |
プロパティ名 |
| $checkVars | boolean |
メンバ変数をプロパティとして扱うかどうか |
| 戻り値 | boolean |
プロパティが定義されているかどうか |
|---|---|---|
public function hasProperty($name, $checkVars = true)
{
return $this->canGetProperty($name, $checkVars) || $this->canSetProperty($name, false);
}
任意の文字列(HTTP プレフィックス付きの php ヘッダーを含む)をヘッダー形式に変換します。
例
- X-PINGOTHER -> X-Pingother
- X_PINGOTHER -> X-Pingother
| protected string headerize ( $string ) | ||
| $string | string |
変換する文字列 |
| 戻り値 | string |
"header"形式の結果 |
|---|---|---|
protected function headerize($string)
{
$headers = preg_split('/[\\s,]+/', $string, -1, PREG_SPLIT_NO_EMPTY);
$headers = array_map(function ($element) {
return str_replace(' ', '-', ucwords(strtolower(str_replace(['_', '-'], [' ', ' '], $element))));
}, $headers);
return implode(', ', $headers);
}
任意の文字列(HTTP プレフィックス付きの php ヘッダーを含む)をヘッダー形式に変換します。
例
- X-Pingother -> HTTP_X_PINGOTHER
- X PINGOTHER -> HTTP_X_PINGOTHER
| protected string headerizeToPhp ( $string ) | ||
| $string | string |
変換する文字列 |
| 戻り値 | string |
"php $_SERVER header"形式の結果 |
|---|---|---|
protected function headerizeToPhp($string)
{
return 'HTTP_' . strtoupper(str_replace([' ', '-'], ['_', '_'], $string));
}
| public void init ( ) |
public function init()
{
}
定義先: yii\base\ActionFilter::isActive()
指定されたアクションに対してフィルターがアクティブかどうかを示す値を返します。
| protected boolean isActive ( $action ) | ||
| $action | yii\base\Action |
フィルタリングされるアクション |
| 戻り値 | boolean |
指定されたアクションに対してフィルタがアクティブかどうか。 |
|---|---|---|
protected function isActive($action)
{
$id = $this->getActionId($action);
if (empty($this->only)) {
$onlyMatch = true;
} else {
$onlyMatch = false;
foreach ($this->only as $pattern) {
if (StringHelper::matchWildcard($pattern, $id)) {
$onlyMatch = true;
break;
}
}
}
$exceptMatch = false;
foreach ($this->except as $pattern) {
if (StringHelper::matchWildcard($pattern, $id)) {
$exceptMatch = true;
break;
}
}
return !$exceptMatch && $onlyMatch;
}
特定のアクションの設定をオーバーライドします。
| public void overrideDefaultSettings ( $action ) | ||
| $action | yii\base\Action |
オーバーライドするアクション設定 |
public function overrideDefaultSettings($action)
{
if (isset($this->actions[$action->id])) {
$actionParams = $this->actions[$action->id];
$actionParamsKeys = array_keys($actionParams);
foreach ($this->cors as $headerField => $headerValue) {
if (in_array($headerField, $actionParamsKeys)) {
$this->cors[$headerField] = $actionParams[$headerField];
}
}
}
}
重複コードを避けるために、従来の CORS リクエストを処理します。
| protected void prepareAllowHeaders ( $type, $requestHeaders, &$responseHeaders ) | ||
| $type | string |
処理するヘッダーの種類 |
| $requestHeaders | array |
クライアントがリクエストしたCORSヘッダー |
| $responseHeaders | array |
クライアントに送信されるCORSレスポンスヘッダー |
protected function prepareAllowHeaders($type, $requestHeaders, &$responseHeaders)
{
$requestHeaderField = 'Access-Control-Request-' . $type;
$responseHeaderField = 'Access-Control-Allow-' . $type;
if (!isset($requestHeaders[$requestHeaderField], $this->cors[$requestHeaderField])) {
return;
}
if (in_array('*', $this->cors[$requestHeaderField])) {
$responseHeaders[$responseHeaderField] = $this->headerize($requestHeaders[$requestHeaderField]);
} else {
$requestedData = preg_split('/[\\s,]+/', $requestHeaders[$requestHeaderField], -1, PREG_SPLIT_NO_EMPTY);
$acceptedData = array_uintersect($requestedData, $this->cors[$requestHeaderField], 'strcasecmp');
if (!empty($acceptedData)) {
$responseHeaders[$responseHeaderField] = implode(', ', $acceptedData);
}
}
}
各 CORS ヘッダーに対して、特定のレスポンスを作成します。
| public array prepareHeaders ( $requestHeaders ) | ||
| $requestHeaders | array |
検出されたCORSヘッダー |
| 戻り値 | array |
送信準備ができたCORSヘッダー |
|---|---|---|
public function prepareHeaders($requestHeaders)
{
$responseHeaders = [];
// handle Origin
if (isset($requestHeaders['Origin'], $this->cors['Origin'])) {
if (in_array($requestHeaders['Origin'], $this->cors['Origin'], true)) {
$responseHeaders['Access-Control-Allow-Origin'] = $requestHeaders['Origin'];
}
if (in_array('*', $this->cors['Origin'], true)) {
// Per CORS standard (https://fetch.spec.whatwg.org), wildcard origins shouldn't be used together with credentials
if (isset($this->cors['Access-Control-Allow-Credentials']) && $this->cors['Access-Control-Allow-Credentials']) {
if (YII_DEBUG) {
throw new InvalidConfigException("Allowing credentials for wildcard origins is insecure. Please specify more restrictive origins or set 'credentials' to false in your CORS configuration.");
} else {
Yii::error("Allowing credentials for wildcard origins is insecure. Please specify more restrictive origins or set 'credentials' to false in your CORS configuration.", __METHOD__);
}
} else {
$responseHeaders['Access-Control-Allow-Origin'] = '*';
}
}
}
$this->prepareAllowHeaders('Headers', $requestHeaders, $responseHeaders);
if (isset($requestHeaders['Access-Control-Request-Method'])) {
$responseHeaders['Access-Control-Allow-Methods'] = implode(', ', $this->cors['Access-Control-Request-Method']);
}
if (isset($this->cors['Access-Control-Allow-Credentials'])) {
$responseHeaders['Access-Control-Allow-Credentials'] = $this->cors['Access-Control-Allow-Credentials'] ? 'true' : 'false';
}
if (isset($this->cors['Access-Control-Max-Age']) && $this->request->getIsOptions()) {
$responseHeaders['Access-Control-Max-Age'] = $this->cors['Access-Control-Max-Age'];
}
if (isset($this->cors['Access-Control-Expose-Headers'])) {
$responseHeaders['Access-Control-Expose-Headers'] = implode(', ', $this->cors['Access-Control-Expose-Headers']);
}
if (isset($this->cors['Access-Control-Allow-Headers'])) {
$responseHeaders['Access-Control-Allow-Headers'] = implode(', ', $this->cors['Access-Control-Allow-Headers']);
}
return $responseHeaders;
}
コメントするにはサインアップまたはログインしてください。