mautic利用時の.htaccess設定(クロスドメインとアクセス制御)

2016/10/18

mauticをインストールは下記参照。

http://qiita.com/bezeklik/items/3cd61156367909e31421

で、追跡したいサイトにタグを入れたときのhtaccess設定。

前提として、埋め込み先のサイトがhttpsの場合は、mauticサーバーもhttpsじゃ無いとエラーが出る。

更に、オレオレ証明書でもエラーが出る。

今回は既に持っているドメインのサブドメインとLet’s Encryptで環境を作成。LetsEncryptでのSSL証明書取得手順は下記サイト参考。

http://weblabo.oscasierra.net/letsencrypt-2/

でapache周りの設定の話

問題①:

サイトとmauticのサーバーが別なので、mauticサーバーに別ドメインからの通信もOKですよという、CORSの設定が必要。

Access-Control-Allow-Origin *

				1

						Access-Control-Allow-Origin *

とか

Access-Control-Allow-Origin "https://example.com"

				1

						Access-Control-Allow-Origin "https://example.com"

という簡単そうな設定もあるのだけど、chromeでよくエラーが出る。

サイトに認証があるとさらにエラーが出る…

問題②

タグから読み込むjsを配置している公開領域は、mauticの管理系も入っているので、外部からは最低限しかアクセスできないようにしたい。でも、jsでのアクセスなのでいろんなIPからアクセスがあるので困る..

対応

以下の設定を.htaccessに追加。

order deny,allow
deny from all
allow from 許可IP

<Files ~ "^(mtc\.js|mtc|index\.php)$">
allow from all
</Files>


SetEnvIf Origin "^https?://(example\.co\.jp)$" ORIGIN=$0　# タグを埋め込むサイトのドメイン
Header append Access-Control-Allow-Origin %{ORIGIN}e env=ORIGIN
Header append Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept"
Header set Access-Control-Allow-Credentials true # 認証ありの前提。無ければ1行でもいけるみたい。