4D 21から、4Dデベロッパーはシンプルな設定ファイルを使ってHTTPレスポンスを完全にコントロールできるようになりました。そのファイルとは、HTTPRules.jsonです。目的がセキュリティの強化であれ、パフォーマンスの最適化であれ、静的リソースへのアクセスの管理であれ、この機能を使えば、コードを一行も書くことなく、必要な柔軟性を得ることができます。
では、その機能と使い方を見ていきましょう。

ルールがどのように適用されるか

この機能を有効にするには、プロジェクトのSources フォルダにHTTPRules.json ファイルを置きます。
または、settings.rules 属性でルールを定義し、 Web server.start( ) 関数にsettings オブジェクトを渡すことで、プログラムでルールを定義することもできます。これは、既存のファイルで定義されたルールを置き換えます。

ファイルまたはsettings. rules 属性の内容は、ルールのコレクションです。
各ルールはオブジェクトであり、リクエストURI にマッチする正規表現パターン(regexPattern)によって定義されます。

ルールのアクションはその属性によって定義されます：

• setHeadersHTTP レスポンスのヘッダーを修正する。
• addHeadersHTTP レスポンスにヘッダーを追加する。
• removeHeadersHTTP レスポンスからヘッダーを削除する。
• denyAccessリソースへのアクセスを拒否または許可する。
• redirectHTTP リクエストをリダイレクトする。
• statusカスタムHTTP レスポンス・ステータスを定義する

 

HTTPサーバーがルールとともに起動されると、Web server.rules 属性を使用することで考慮されているルールを取得することができます。
ルールは順番に評価され、また1つのリクエストに複数のルールを適用できることに注意してください。

アクションの説明

カスタムヘッダーの設定

HTTP レスポンスの既存のヘッダーを更新し、存在しない場合は作成することができます。
このアクションはsetHeaders 属性によって定義されます。これは、HTTP レスポンスに設定するキーと値のヘッダーペアを格納したオブジェクトです。

例:

{
"regexPattern"："/(.*)",
"setHeaders"：{
"X-Frame-Options"："SAMEORIGIN",
"Content-Security-Policy"："default-src 'self'"
}
}.

このルールにより、すべてのHTTP レスポンスは、4D HTTPサーバーによって定義されたものに加えて、ここで定義された値のX-Frame-Options とContent-Security-Policy ヘッダーを含むことになります。

カスタムヘッダーの追加

HTTP レスポンスにカスタムヘッダーを追加できます。これは、cookies のように複数のインスタンスを持つことができるヘッダーに特に有用です。
このアクションは、addHeaders 属性によって定義されます。これは、HTTP レスポンスに追加するキーと値のヘッダーペアを格納したオブジェクトです。

例:

{
"regexPattern"："/(.*)",
"addHeaders"：{
"Set-Cookie"："myCookie=123456; Max-Age=14400"
}
} 。

このルールにより、すべてのHTTPレスポンスは、4D HTTPサーバー、またはあなた自身で定義されたものに加えて、ここで定義された値を持つもう一つのSet-Cookieヘッダーを格納することになります。

ヘッダーの削除

レスポンスから不要なヘッダーを削除することができます。たとえばServer ヘッダーは、4D のバージョンを公開してしまうことになります。
このアクションはremoveHeaders 属性によって定義されます。これは、HTTP レスポンスから削除するヘッダーキーのコレクションです。

例:

{
"regexPattern"："/(.*)",
"removeHeaders"：["Server", "X-Frame-Options"]
}

このルールでは、すべてのHTTP レスポンスヘッダからServer ヘッダとX-Frame-Options ヘッダが削除されます。

⚠️ ヘッダーの中には、更新、追加、削除できないものがあります。 例えばDate あるいは Content-Length などです。

リソースへのアクセスを拒否/許可する

デフォルトで 403 Forbidden ステータスを返すことで、特定の URI へのアクセスをブロックできます。
このアクションはdenyAccess 属性で定義されます。これはブール値で、アクセスを拒否するにはtrueを、許可するにはfalseを渡します。

例:

{
"regexPattern"："/private/(.*)",
"denyAccess": true,
}

このルールでは、/private/ フォルダとその内部フォルダからのリソースは全て配信されません。

サブフォルダへのアクセスを明示的に許可することもできます：

例:

{
"regexPattern"："/private/allowed/(.*)",
"denyAccess": false
}

このルールでは、親フォルダである/private/ フォルダへのアクセスを拒否する先のルールが定義されていても、/private/allowed/ フォルダとサブフォルダのすべてのリソースにアクセスすることができます。

リクエストのリダイレクト

リクエストを別の URL にリダイレクトできます。この際ステータスコードを指定できます(デフォルトでは恒久的なものは 301、一時的なものは 302)。
このアクションはredirect 属性で定義されます。これはリダイレクト元のURLを含むテキストです。

例:

{
"regexPattern"："^/images/(.*)",
"redirect"："https://cdn.example.com/images/",
"status"：301
}

このルールでは、images サブフォルダのすべてのリソースが、定義されたCDN にリダイレクトされます。
正規表現パターンの先頭の”^” は、間違ったURI が返されるのを避けるために、リダイレクトの場合には重要であることに注意してください。

カスタムステータスコードの設定

HTTP レスポンスのデフォルトのステータスコードを上書きすることができます。
このアクションはstatus 属性で定義されます。これは、HTTP レスポンスによってステータスコードとして返される数値です。

例:

{
"regexPattern"："^/maintenance.html",
"status"：503
}

このルールでは、maintenance.html ページがリクエストされると、返されるステータスコードは503 になります。

⚠️ 自分で定義したステータスが、HTTP サーバーから送信されるレスポンスと一致していることを確認してください！

アクションとルールの組み合わせ

いくつかのアクションは、同じ正規表現パターンを共有する場合、1つのルールにまとめることができます。

例:

{
"regexPattern"："/docs/(.*).html",
"addedHeaders"：{
"Cache-Control"："max-age=3600"
}
"removedHeaders"：["X-Powered-By"]
}

このルールは、docsサブフォルダーに置かれたすべてのHTML ファイルに対して適用されます。

また、ルールを論理的な順序で組み合わせることで、HTTP サーバーのレスポンスを完全に設定することもできます。

完全なルールコレクションの例

[
{
"comment"："全てのリクエスト対象: GET メソッドを許可、'Server' ヘッダーを削除してセキュリティヘッダーを設定",
"regexPattern"："/(.*)",
"setHeaders"：{
"Allow"："GET",
"X-Frame-Options"："SAMEORIGIN",
"Content-Security-Policy"："default-src 'self'"
},
"removeHeaders"：[
"Server"
]
},
{
"comment"："REST リクエスト: POST メソッドを許可",
"regexPattern"："/rest/(.*)",
"addHeaders"：{
"Allow"："POST"
}.
},
{
"comment"："'doc'フォルダ内のHTMLファイル：キャッシュ制御を設定する",
"regexPattern"："/docs/(.*).html",
"setHeaders"：{
"Cache-Control"："Max-Age=3600"
},
"removeHeaders"：[
"X-Powered-By"
]
},
{
comment"："'maintenance' ページに対してはステータス503 を返す",
"regexPattern"："^/maintenance.html",
"status"：503
},
{
"comment"："CSS ファイルおよび JS ファイルはリダイレクトする",
"regexPattern": "^(.*\\\\.(css|js))",
"redirect"："https://cdn.example.com/"
},
{
"comment"："Redirect images with permanent status code",
"regexPattern": "^(.*\\\\.(jpg|jpeg|png|gif))",
"redirect"："https://cdn.example.com/images/",
"status"：301
},
{
"comment"："'private' フォルダに置かれたすべてのリソースのアクセスを拒否する",
"regexPattern"："/private/(.*)",
"denyAccess": true
},
{
"comment"："'private/allowed'フォルダに置かれたすべてのリソースへのアクセスを許可する",
"regexPattern"："/private/allowed/(.*)",
"denyAccess": false
}
]

まとめ

HTTPRules.jsonを使うことで、4Dはより強力で柔軟なHTTP サーバーになります。以下のことができるようになりました：

• ヘッダーの追加、変更、削除
• アクセスのブロックまたは許可
• リクエストのリダイレクト
• カスタムステータスコードの設定

 

コードによる複雑なフィルタリングロジックは必要なく、HTTPRules.jsonファイルで設定するだけで実行できます！
そして、もしあなたのアプリケーションが、導入された環境や顧客によってカスタマイズされたルール(例えばセキュリティルール)を設定する必要がある場合、それは Web server コマンドを使用すれば非常に簡単に設定できます！
Web デプロイメントを簡素化できることが伝わりましたでしょうか？是非今すぐルールを使い始めましょう。