開発環境の都合上、クロスドメインに対応しなければ行けませんでした。
Google Chromeの設定で「--disable-web-security」オプションを利用していましたが、2016年3月になってから利用できなくなりました。
これが利用できないと開発が進まないので調査したところ、Chrome 49に更新されたことが原因というオチでした…
Stack Overflow - cors - Disable-web-security in Chrome 48 and 49 beta
Issue 575690 - chromium - `--disable-web-security` works with an empty value for `--user-data-dir` - Monorail
上記サイトを確認する限り、「--disable-web-security」を使用する場合、「--user-data-dir」オプションを併用する必要があるようです。
「--user-data-dir」はChromeのキャッシュやブックマーク等、ユーザデータフォルダを指定するオプションです。
仕事用Chromeとプライベート用Chromeを使い分けたい場合等に便利です。
ITmediaエンタープライズ - 3分LifeHacking:“遊び用ちょろめ”と“仕事用Chrome”を使い分ける
それで実際の設定ですが、Windows 7、8、8.1等であれば以下のような設定にすれば以前と同じ動きになります。
chrome.exe --user-data-dir="%UserProfile%\AppData\Local\Google\Chrome\User Data" --disable-web-security
※「%UserProfile%\AppData\Local\Google\Chrome\User Data」が元々のユーザデータディレクトリです。
Chrome 49以降で「--disable-web-security」を利用する場合に、「--user-data-dir」オプションの指定を必須にしたのがバグなのか仕様なのかは定かではありませんが、セキュリティ強化の一環と考えると仕方ないのかなと説明が付きそうです。。
「--disable-web-security」オプションはクロスドメイン対策の機能を無効にするので、本来ならば発生しないクロスサイトスクリプティングやクロスサイトリクエストフォージェリが発生する穴を空けることになります。
「--disable-web-security」オプションを付ける場合、「--user-data-dir」オプションによりユーザデータディレクトリを別の場所に指定することで、悪意のあるユーザの仕掛けにより情報を窃取される可能性が減るのではないかなと思いました。
しかしながら、突然のセキュリティ対策オプションの予告ない変更は困りますね。
開発が大詰めになってるときに、今回の事象が発生し、大慌てでした。
そんなときリアルタイムでつぶやきがされ、情報が展開されるTwitterは便利だと思った次第です。
他の慌ててる人たちのご参考になれば幸いです。
コメント