以前、SitesでApex RESTクラスを公開することで認証なしで

Anonymous(サイトゲストユーザ)なREST APIをコールできます的な話をしましたが、

CORS対応できるかどうかを検証してみました!

CORSに関しては以下のURLが詳しい感じっす。

https://developer.mozilla.org/ja/docs/HTTP_access_control

http://dev.classmethod.jp/etc/about-cors/

 

で、今回検証したサンプル↓

 

実装方法としては、ResponseヘッダにAccess-Control-Allow-Originを入れてあげるだけ。

これだけで以下のようにGETリクエストとPOSTリクエストに関しては実現できます。

jQueryのAjaxでlocalhostからGET・POSTした例↓

Sites_Ajax_CORS

 

で、問題はpreflightリクエスト(OPTIONS)が送信される場合。

 

preflightリクエストとは、GET・POST以外のメソッド(DELETEとかPUT)を利用したり、

カスタムヘッダ入れてたり、POSTでもContent-Typeが規定のタイプ以外(例えばapplication/json)だと、

最初にOPTIONSメソッドでオリジンやメソッドが対応しているかどうかを確認するリクエストのことです。

 

Apex RESTでサポートされているHTTPメソッドはGET・POST・PUT・PATCH・DELETEの5つのみなので

残念ながら、OPTIONSに対してのレスポンスを返すことができません。

 

ということで、AnonymousなREST APIでCORSを実現するには

GET・POSTでContent-Typeもapplication/x-www-form-urlencodedあたりでAPI設計する必要があります。

 

というか、そもそもSalesforceはforce.com Canvas推しな感じなので

Ajaxやるんだったら、そっちで対応するのが吉なのかもしれません。