【Apache2.4】JavaScriptからfetch APIを使ったときの設定覚書

取得先ドメイン（CORS）にあるREST APIを取得し、出力先ドメインにJavaScriptからDOM生成するときの、Apache周りで行なった設定の覚書。

const data_url = ＜取得先URL＞;
const parma = {
  method: 'GET',
  cache: 'no-store',
  referrerPolicy: 'no-referrer',
  headers: {
    'Content-type' : 'application/json; charset=utf-8'
  },
};
fetch(data_url, parma)
・
・
・

CORS（オリジン間リソース共有）を設定する

【Apache2.4】CORS（オリジン間リソース共有）の設定

fetchやXMLHttpRequestでファイルを取得する際、全てのドメインに対し許可しているとセキュリティ…

code.dp-w.net

CSP（Content-Security-Policy）を設定する

Header always set Content-Security-Policy "connect-src 'self' ＜取得先ドメイン＞; form-action 'none'; frame-ancestors 'none'; frame-src 'none'; font-src 'none'; media-src 'self';  script-src 'self'; style-src 'self' 'unsafe-inline';"

安全性を高めるため、CSP（Content-Security-Policy）を設定。
connect-srcには取得先ドメインを指定する。