Community

コミュニティをご利用の際は 【ガイドライン】を確認・同意いただいた上でご利用ください。

  • 投稿

    アバターogawatachi

    アクセストークン取得の際のCORSとCORBについて

    お世話になります。アクセストークン取得の際のCORSとCORBについて質問させてください。

    https://api.freee.co.jp/oauth/token のAPIをブラウザ(Chrome,FireFox)からコールしようとしています。
    fetchでコールすると、以下のCORSエラーとCORBエラーになります。

    CORS
    Failed to load https://api.freee.co.jp/oauth/token: The 'Access-Control-Allow-Origin' header has a value 'https://developer.freee.co.jp' that is not equal to the supplied origin. Origin '*******' is therefore not allowed access. Have the server send the header with a valid value, or, if an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.

    CORB
    Cross-Origin Read Blocking (CORB) blocked cross-origin response https://api.freee.co.jp/oauth/token with MIME type application/json. See https://www.chromestatus.com/feature/5629709824032768 for more details.

    CORBについて
    https://www.chromium.org/Home/chromium-security/corb-for-developers

    curlやPostmanで同様のリクエストをすると成功するので、ブラウザからAPIコールするのが駄目なのかと思っています。
    レスポンスヘッダーのAccess-Control-Allow-Originがhttps://developer.freee.co.jpになっているので弾かれていると思うのですが、
    前提としてブラウザからコールされることは想定されていない形でしょうか。
    検討違いな質問でしたらすいませんが、よろしくお願い致します。

    回答

    freee dev-supportfreee dev-support

    お世話になっております。

    お問い合わせありがとうございます。

    本件につきまして、現在確認しております。

    大変恐縮ではございますが、お時間をいただけますと幸いです。

    何卒よろしくお願い申し上げます。

    freee dev-supportfreee dev-support

    お世話になっております。

    本件について、現在も確認・調査を進めております。

    お時間を要しており、誠に申し訳ございません。

    大変恐縮ではございますが、進捗があり次第、改めて回答いたします。

    本件について、ご不明な点・気になる点がございましたら、ご返信いただけますと幸いです。

    どうぞよろしくお願いいたします。

    freee dev-supportfreee dev-support

    お世話になっております
    大変恐縮ではございますが、開発チームにて対応を進めておりますが、お時間を要しております。

    引き続き開発チームにて不具合解消のための調査を進めて参りますが修正が長期化することが予想されます。

    誠に恐れ入りますが、対応が完了次第、改めてご連絡いたしますのでお待ちいただきますようお願い申し上げます。
    その間、状況を確認なさりたい場合は、本投稿への返信にてお問い合わせくださいませ。

    この度はご不便をお掛けしまして、誠に申し訳ございません。
    何卒よろしくお願い申し上げます。

    freee dev-supportfreee dev-support

    お世話になっております。
    この度は、ご案内にお時間を要してしまい、誠に申し訳ございません。

    まず、ブラウザからコールされることを想定しているかについて、ご説明いたします。
    コールする自体は可能でございますが、リスクがあるため、想定しておりませんでした。

    そのため、アプリをご利用していただきますようお願い申し上げます。

    ブラウザからコールする方法についても、ご案内いたします。
    Chromeの場合、”–disable-web-security –user-data-dir” オプションをつけてコマンドラインでChromeを起動することで実行できます。
    ※最近のChromeだとGoogleの検索フォームが表示されているので、シークレットモードでの起動も必要になります。

    Firefoxの場合は別の方法になります。
    大変恐縮ではございますが、こちらの方法については、ブラウザの利用方法になるため、お調べいただけますと幸いです。
    このようなご案内となってしまい、誠に心苦しいのですが、何卒よろしくお願い申し上げます。

    ご不明な点・気になる点がございましたら、お気軽にお申し付けくださいませ。