<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
AWS API Gatewayをつかっていて、CORSまわりの設定が地味に時間を削ってきたので、後陣のためにメモっておきたい
<h1 id="cors%E9%96%A2%E9%80%A3%E3%81%AE%E3%83%98%E3%83%83%E3%83%80%E3%81%8C%E3%81%A4%E3%81%8B%E3%81%AA%E3%81%84..">
<a class="header-anchor-link" href="#cors%E9%96%A2%E9%80%A3%E3%81%AE%E3%83%98%E3%83%83%E3%83%80%E3%81%8C%E3%81%A4%E3%81%8B%E3%81%AA%E3%81%84.." aria-hidden="true"></a> CORS関連のヘッダがつかない..</h1>
API Gatewayの<code>Lambda Proxy Integration</code>（ラムダプロキシ統合、以降LPI）を使っている場合、<code>Enable CORS</code>をするだけでは、いい感じのCORS関連ヘッダーをつけてくれない（その他の統合方法だとやってくれるのだが..）
<img src="https://storage.googleapis.com/zenn-user-upload/cjrsuxa1w7mndy8jht134eh25udk" alt loading="lazy" class="md-img">
どんなレスポンスヘッダの設定になってんのかなと、<code>Integration Response</code>（統合レスポンス）を見にいくも、グレーアウトされている。LPI以外だと、ここでヘッダつけてくれるんだと思う<a href="#fn-f0f5-1" id="fnref-f0f5-1">[1]</a>
<img src="https://storage.googleapis.com/zenn-user-upload/9dnz5a865r6pru178avv4c469os2" alt loading="lazy" class="md-img">
<h1 id="%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%81%84%E3%81%84%E3%81%AE%E3%81%8B%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%81%84%E3%81%84%E3%81%AE%E3%81%8B%EF%BC%9F" aria-hidden="true"></a> どうすればいいのか？</h1>
LPIを使ってる状況でCORSを許可したい時は以下の三つをすればよいようだ(たぶん)
<ol>
<li>Lambda側でヘッダを返す</li>
<li>Preflightを使えるように<code>OPTIONS</code>の<code>Authorization</code>を<code>NONE</code>にしておく<a href="#fn-f0f5-2" id="fnref-f0f5-2">[2]</a>
</li>
<li>エラーレスポンスがCORSで弾かれないように、エラーレスポンスにもヘッダをつける</li>
</ol>
<h2 id="1.-lambda%E5%81%B4%E3%81%A7%E3%83%98%E3%83%83%E3%83%80%E3%82%92%E8%BF%94%E3%81%99">
<a class="header-anchor-link" href="#1.-lambda%E5%81%B4%E3%81%A7%E3%83%98%E3%83%83%E3%83%80%E3%82%92%E8%BF%94%E3%81%99" aria-hidden="true"></a> 1. Lambda側でヘッダを返す</h2>
コード内で、ヘッダをつけるようにする
<div class="code-block-container">
<div class="code-block-filename-container">lambda_handler.rb</div>
<pre class="language-ruby"><code class="language-ruby">def lambda_handler(event:, context:) 
:
:
 { 
 statusCode: 200,
 headers: {
 "Access-Control-Allow-Headers": "Content-Type",
 "Access-Control-Allow-Origin": '*',
 "Access-Control-Allow-Methods": "OPTIONS,POST,GET"
 },
 body: JSON.generate(list_project(table))
 }
:
:
end
</code></pre>
</div><h2 id="2.-options%E3%81%AEauthorization%E3%82%92none%E3%81%AB%E3%81%97%E3%81%A6%E3%81%8A%E3%81%8F">
<a class="header-anchor-link" href="#2.-options%E3%81%AEauthorization%E3%82%92none%E3%81%AB%E3%81%97%E3%81%A6%E3%81%8A%E3%81%8F" aria-hidden="true"></a> 2. <code>OPTIONS</code>の<code>Authorization</code>を<code>NONE</code>にしておく</h2>
<code>API Gateway</code>&gt;<code>API</code>&gt;<code>OPTIONS</code>
<img src="https://storage.googleapis.com/zenn-user-upload/32brcgikduxt9mxrjmi8utrw4dlk" alt loading="lazy" class="md-img">
<h2 id="3.-%E3%82%A8%E3%83%A9%E3%83%BC%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%E3%81%AB%E3%82%82%E3%83%98%E3%83%83%E3%83%80%E3%82%92%E3%81%A4%E3%81%91%E3%82%8B">
<a class="header-anchor-link" href="#3.-%E3%82%A8%E3%83%A9%E3%83%BC%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%E3%81%AB%E3%82%82%E3%83%98%E3%83%83%E3%83%80%E3%82%92%E3%81%A4%E3%81%91%E3%82%8B" aria-hidden="true"></a> 3. エラーレスポンスにもヘッダをつける</h2>
<ol>
<li>だけだと、ラムダまで届かない（API Gatewayでエラーになる等）場合のレスポンスはヘッダがつかなくて、ブラウザでCORSでブロックされる。そうなると、何が起こってるのかわからず、一見CORSのエラーに見えるけど認証エラーだったとか、切り分けがややこしいのでやっておくとよい</li>
</ol>
<code>API Gateway</code>&gt;<code>API</code>&gt;<code>Gateway Response</code>&gt;<code>Default 4xx</code>と<code>Default 5xx</code>あたり
<img src="https://storage.googleapis.com/zenn-user-upload/0w19f8fg5fyiawjj2he81k3hm27c" alt loading="lazy" class="md-img">
<h1 id="%E5%85%AC%E5%BC%8F%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E3%81%AF%E3%81%A9%E3%81%86%E3%81%AA%E3%81%A3%E3%81%A6%E3%81%84%E3%82%8B%E3%81%8B">
<a class="header-anchor-link" href="#%E5%85%AC%E5%BC%8F%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E3%81%AF%E3%81%A9%E3%81%86%E3%81%AA%E3%81%A3%E3%81%A6%E3%81%84%E3%82%8B%E3%81%8B" aria-hidden="true"></a> 公式ドキュメントはどうなっているか</h1>
しっかり読めばわかるんだろうけど、「なんでそうなってんの？」がわかりにくい
<ul>
<li>CORSそのものや、シンプルリクエストかどうか、どういうものがCORS対象かについては、<a href="https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/how-to-cors.html" target="_blank" rel="nofollow noopener noreferrer">ここに記載がある</a>
</li>
<li>具体的な設定方法は<a href="https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/how-to-cors-console.html" target="_blank" rel="nofollow noopener noreferrer">ここにある</a>が、以下の記載などは怪しいと思う。</li>
</ul>
<blockquote>
重要 
上記の手順をプロキシ統合の ANY メソッドに適用すると、適切な CORS ヘッダーは設定されません。代わりに、バックエンドは Access-Control-Allow-Origin などの適切な CORS ヘッダーを返す必要があります。
</blockquote>
実際やってみたけど、ANYじゃなくてもCORSのヘッダーはつかないんだな...
<blockquote>
Lambda または HTTP プロキシ統合への CORS のサポートを有効にする 
Lambda プロキシ統合、または HTTP プロキシ統合の場合、API Gateway で必要な OPTIONS レスポンスヘッダーを引き続き設定できます。ただし、プロキシ統合は統合レスポンスを返さないため、バックエンドは Access-Control-Allow-Origin および Access-Control-Allow-Headers を返します。
</blockquote>
<code>OPTIONS</code>だけは、いい感じでやってくれているようなんですが、なんで<code>OPTIONS</code>だけ？
<img src="https://storage.googleapis.com/zenn-user-upload/f5k0vuv26yp2wzd40c8c26purk4r" alt loading="lazy" class="md-img">
あ、あと、API Gatewayの変更はDeployしないと反映されないので、そこもうっかり忘れてハマりがち。また、Deployの反映は数分かかるので落ち着いて待つこと
<h1 id="%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA">
<a class="header-anchor-link" href="#%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA" aria-hidden="true"></a> シリーズ</h1>
<ul>
<li><a href="https://qiita.com/narutaro/items/b553a26cc84f195f165f" target="_blank" rel="nofollow noopener noreferrer">Lambda ↔ DynamoDB</a></li>
<li><a href="https://qiita.com/narutaro/items/57cdd9f5ec8634112b09" target="_blank" rel="nofollow noopener noreferrer">API Gateway ↔ Lambda ↔ DynamoDB</a></li>
<li><a href="https://qiita.com/narutaro/items/adaf160d944b91791b59" target="_blank" rel="nofollow noopener noreferrer">Cognito ↔ API Gateway ↔ Lambda ↔ Dynamo</a></li>
<li><a href="https://qiita.com/narutaro/items/7aba191c12d917d36758" target="_blank" rel="nofollow noopener noreferrer">Amplify [Hosting] ↔ API Gateway [REST] ↔ Lambda</a></li>
<li><a href="https://zenn.dev/masaino/articles/dd9ee709799af0" target="_blank">API GatewayでCORSを有効にするためにやったこと</a></li>
<li><a href="https://zenn.dev/masaino/articles/9c4586fe1fc179" target="_blank">AmplifyのJavascript SDKでCognito認証からデータ取得まで</a></li>
</ul>
<section class="footnotes">
脚注
<ol class="footnotes-list">
<li id="fn-f0f5-1" class="footnote-item">
<code>Method Response</code>の方でなんとかならないかとも思うが、詳しくは調べていない <a href="#fnref-f0f5-1" class="footnote-backref">↩︎</a>
</li>
<li id="fn-f0f5-2" class="footnote-item">
これでいいのかな？もっといい方法があれば誰か教えて欲しい <a href="#fnref-f0f5-2" class="footnote-backref">↩︎</a>
</li>
</ol>
</section>

API GatewayでCORSを有効にするためにやったこと

2. OPTIONSのAuthorizationをNONEにしておく

3. エラーレスポンスにもヘッダをつける

公式ドキュメントはどうなっているか

Discussion