لماذا لدى CORS رطوبة حرجة جدا من تطبيقات الويب u00f6humidity من تطبيقات الويبu0131nu0131n gu00fcgüvenliu011fi au00e7u0131su0131؟

يمنع CORS المواقع التي تنوي استخدام ku00f6tu00fc الوصول إلى بيانات u015f7 من مصادر مختلفة (نطاق، بروتوكول، منفذ) عن طريق التحقق من إضافة بيانات من مصادر مختلفة (نطاق، بروتوكول، منفذ) بناء على browser0131cu0131. بهذه الطريقة، يكون المستخدم 0131cu0131 هو hiddenu011fi والتطبيق bu00fctu00fcnlu00fcu011fu00fc محمي. في جوهره، هو gu00fcfirewallu0131 gu00f6revi gu00f6ru00fcr.

وصول CORS كان su00fcreci nasu0131l وأي حاجة كانت dou011fdu؟

CORS هو حاجة من u00e7u0131 إلى dou011fdu، مع تزايد عدد التطبيقات على تطبيقات الويب 0131nu0131n واجهات برمجة التطبيقات. Aynu0131 المصدر u0130lkesi (سياسة نفس المصدر) bazu0131 u00e7ok ku0131su0131tlayu0131cu0131 kalu0131 وكان هناك حاجة لآلية تسمح للمطورين بإنشاء بيانات دقيقة آمنة u015fc alu0131u015fveriu015fi من مجالات مختلفة. تم اعتماده من قبل W3C من المعيار u015ftu0131ru0131ldu0131 ومع مرور الوقت من متصفح الويب 0131cu0131laru0131 إلى متصفح الويب 0131.

أي بدائل يمكن تفضيلها من yu00f6ntems بدلا من استخدام CORS وما هي مزايا gu00f6re مقارنة ب diu011 fers في CORSU0131؟

كبديل ل CORS، يمكن استخدام yu00f6ntems مثل JSONP (JSON مع الحشوة). ومع ذلك، يدعم JSONP فقط طلبات GET وهو أقل حماية من gu00fc. يدعم CORS كل من GET و diu011fer HTTP methodsu0131nu0131 (POST، PUT، DELETE، إلخ) ويوفر آلية أكثر أمانا. أيضا، CORS، جانب الخادم 0131 tanu0131r.

كورس يابو0131landu0131rmasu0131nu0131 المزيد من الفهمu015fu0131lu0131r صنع iu00e7in ما هي أبسط النقاط التي يجب أخذها في الاعتبار؟

CORS configu0131landu0131rmasu0131nu0131n base adu0131mlaru0131 arasu0131nda server-side 'Access-Control-Allow-Origin' bau015flu0131u011fu0131nu0131 set to alu0131r. هذا bau015flu0131k يحدد أي المجالات المسموح لها بأصل eriu015f. أهم نقطة يجب ملاحظتها هي أن استخدام حرف '*' هو 0131mu0131nu0131n controlled00fcsu0131du0131r. إذا كان deu011filse مطلوبا، يجب تحديد نطاقات محددة.

ما هو بالضبط ما قبل الطيران isteu011fi (OPTIONS isteu011fi) وما هو دوره في آلية CORS 0131fc؟

Preflight isteu011fi, tarayu0131cu0131nu0131n server asu0131l isteu011fi gu00f6ndermden u00f6nce yaptu0131u011fu0131 a u00f6n kontroldu00fcr. يستخدم في طريقة OPTIONS gu00f6nde ويسأل الخادم عن u011fin ما إذا كان asu0131l isteu011fin (u00f6rneu011fin, POST) yapu0131lmasu0131 مسموحا. هذا هو u00f6، خاصة للطلبات غير 'البسيطة' التي يستخدمها iu00e7 كنموذج gu00f6nsim u0131lu0131r. إذا أصدر الخادم طلب CORS المناسب bau015flu0131klaru0131t مع هذا الطلب 011fe، فإن طلب asu0131l هو gu00f6nder.

ما هي أكثر الأسباب وضوحا لمشكلة su0131k karu015fu0131lau015fu0131lan CORS errorsu0131nu0131n وما هي الحلول العملية التي تصلح هذه الأخطاء su00e7u00f6zu00f6zu00f6ner؟

Su0131k karu015fu0131lau015fu0131lan CORS errorsu0131nu0131n أسباب susu0131nda sideu0131nda false0131u015f أو فقدان CORS bau015flu0131klaru0131، النطاق uyuu015fmazlu0131u011fu0131 وu00f6n control isteu011fin (preflight) موجود bau015faru0131su0131z bau0131r. U00c7U00F6Zu00FCM U00f6nerleri arasu0131nda Server-side0131 Cors BAU015FLU0131KLARU0131nu0131 Checking, مسموح ب DOMAIN dou011fru Yapu0131landu0131RMAK وU00f6n Control Isteu011Fin مع BAU015FARu0131su0131SU0131 nu0131 SAU011FMAK يقع في الجانب.

ما هي التقنيات والاستراتيجيات المتقدمة التي يمكن تطبيقها على gu00fcgüvenliu011fini artu0131rmak iu00e7in من CORS؟

يمكن استخدام CORS بحذر مع gu00fcsecureu011fini artu0131rmak iu00e7in 'Access-Control-Allow-Credentials' bau015flu0131u011fu0131nu0131n0131n، و'Access-Control-Expose-Headers' bau015flu0131u011fu0131 مع المطلوبين فقط bau015flu0131klaru0131n client-side0131n0131، و'Origin' bau015flu0131u011fu0131nu0131n dou011frulanmasu0131n وSubresource Integrity (SRI) يمكن استخدامها مع gu00fcsecurity u00f6n الإضافي.

CORS hakku0131nda geliu015ftiriciler arasu0131nda en su0131k karu015fu0131lau015fu0131lan yanlu0131u015f anlau015fu0131lan ما هي القضايا وما الذي يمكن أن يكون su00f6 للقضاء على هذا الفهم yanlu0131u015f u0131 iu00e7in su00f6y؟

CORS hakku0131nda en su0131k karu015fu0131lau015fu0131lan yanlu0131u015f فهم، '*' deu011ferin تعني 'السماح للجميع' جاء إلى 0131na u011fi ودائما gu00fcsafeu011fudur. هنا dou011fru deu011fil. لا يمكن استخدام '*' DEU011feri في الطلبات التي تتطلب بيانات اعتماد ومخاطر أمنية محتملة ل tau015fu0131r. من المهم للمطورين تحديد نطاقات محددة وفهم 'Access-Control-Allow-Credentials' بشكل كامل bau015flu0131u011fu0131nu0131n يعنيه 011f0131u00f6.

مشاركة الموارد عبر الأصول (CORS) وأمان الويب

توفر هذه التدوينة نظرة شاملة على مشاركة الموارد عبر الأصول (CORS)، وهي جزء أساسي من أمن الويب. يشرح ما هو CORS ولماذا هو مهم لتطبيقات الويب، مع توفير معلومات عن تاريخه وتطوره. يتم تسليط الضوء على الفوائد الرئيسية لاستخدام CORS، ويتم شرح خطوات التكوين بدليل بسيط. من خلال التعمق في التفاصيل التقنية، يتم فحص أخطاء وحلول CORS بالتفصيل. تعرض استراتيجيات وأمثلة تنفيذ السياسات لتعزيز أمن CORS. بالإضافة إلى ذلك، يتم دحض المفاهيم الخاطئة الشائعة حول CORS وتلخص أهم النقاط التي يجب معرفتها عنها. إنه دليل شامل لبرنامج CORS لمطوري الويب.

ما هو CORS وأهميته لتطبيقات الويب

خريطة المحتوى

الموارد متعددة الأصول المشاركة (CORS) هي آلية أمان لمتصفحات الويب تسمح أو تمنع صفحة الويب من الوصول إلى موارد من مجال مختلف. بشكل أساسي، يسمح لتطبيق الويب بالتحكم في وصوله إلى الموارد خارج نطاقه (مثل واجهات برمجة التطبيقات (APIs، الخطوط، الصور). يعد CORS أحد الركائز الأساسية لأمان الويب الحديث ويلعب دورا حيويا في ضمان أمان تطبيقات الويب.

يعد CORS حيويا بشكل خاص في أساليب تطوير الويب الحديثة، مثل تطبيقات الصفحة الواحدة (SPAs) وبنى الخدمات المصغرة. غالبا ما تعتمد هذه التطبيقات على واجهات برمجة التطبيقات وموارد أخرى في مجالات مختلفة. من خلال ضمان مشاركة هذه الموارد بأمان، يمنع CORS المواقع الخبيثة من الوصول إلى البيانات الحساسة. لو لم تكن هناك آلية CORS، يمكن لأي موقع استخدام جافا سكريبت لسرقة أو تعديل بيانات مستخدمي موقع آخر.

فوائد CORS

يتيح لتطبيقات الويب تبادل البيانات بأمان من نطاقات مختلفة.
يمنع المواقع الخبيثة من الوصول إلى بيانات المستخدمين.
يحسن أمان واجهات برمجة التطبيقات وخدمات الويب الأخرى.
يدعم التطبيق الآمن لأساليب تطوير الويب الحديثة (SPA، الخدمات المصغرة).
يقلل من مشاكل التوافق بين المتصفحات.
يمنح المطورين تحكما دقيقا في الموارد التي يمكن الوصول إليها من أي نطاقات.

يعد CORS حيويا لأمن الويب لأنه يعمل بنفس سياسة الأصل الذاتي (SOP) لحماية بيانات تطبيقات الويب والمستخدمين. يسمح نظام التشغيل القياسي (SOP) لصفحة الويب بالوصول إلى الموارد فقط على نفس النطاق والبروتوكول والمنفذ. أما CORS، فيخفف من إجراءات التشغيل التشغيلية، مما يسمح بالوصول إلى موارد من مجالات مختلفة تحت ظروف معينة. وهذا يسمح لتطبيقات الويب بأن تكون أكثر مرونة وعملية، مع الحفاظ على الأمان أيضا.

التكوين الصحيح ل CORS له أهمية حاسمة لأمان تطبيقات الويب. يمكن أن تجعل سياسة CORS الخاطئة تطبيقات الويب عرضة لمختلف الثغرات. لذلك، فهم كيفية عمل CORS وكيفية تكوينه بشكل صحيح أمر مهم لأي مطور ويب.

معلومات عن تاريخ وتطور CORS

الموارد متعددة الأصول المشاركة (CORS) جزء لا غنى عنه من تطبيقات الويب الحديثة، لكن جذور وتطور هذه التقنية ضروريان لفهم أهميتها اليوم. في البداية، كانت متصفحات الويب محدودة بسياسة المصدر نفسه، مما يسمح للمورد بالوصول إلى الموارد فقط من نطاقه الخاص. وقد حد هذا بشكل كبير من تطوير تطبيقات الويب الحديثة التي تتطلب سحب البيانات من مجالات مختلفة. تم تطوير CORS لتجاوز هذه القيود وإجراء طلبات عبر المصادر بشكل آمن.

بدأ تطوير CORS استجابة للتحديات العملية التي يواجهها مطوري الويب. على وجه الخصوص، الحاجة إلى جمع البيانات من مصادر مختلفة والوصول إلى واجهات برمجة التطبيقات تتطلب حلا لتمكين تطبيقات الويب من أن تكون أكثر ديناميكية وغنية بالميزات. استنادا إلى هذا الاحتياج، تم وضع معايير من قبل اتحاد الويب العالمي (W3C) وتم تحديد كيفية تفاعل المتصفحات والخوادم. تهدف هذه المعايير إلى منح المطورين مزيدا من المرونة مع تقليل الثغرات الأمنية في الوقت نفسه.

سنة	تطوير	توضيح
أوائل الألفينات	الاحتياجات الأولية	لقد أدرك مطورو الويب الحاجة إلى سحب البيانات من مجالات مختلفة.
2004	الحلول الأولية	ظهرت حلول مثل JSONP، لكنها احتوت على ثغرات.
2009	دراسات W3C	بدأت W3C في تطوير معايير لنظام CORS.
2010+	الاستخدام الواسع	أصبح CORS مدعوما من قبل المتصفحات الحديثة وأصبح مستخدما على نطاق واسع.

لقد تقدم تطور CORS، مع مراعاة مستمرة في التوازن بين أمان الويب والوظائف. بينما كانت التطبيقات الأولية كافية للطلبات البسيطة، تم توسيعها مع مرور الوقت لدعم سيناريوهات أكثر تعقيدا. على سبيل المثال، توفر آلية طلب الطيران المسبق طبقة إضافية من الأمان للتحقق مما إذا كان الخادم يسمح بطلب معين عبر المنشأ. هذه التحسينات وما شابهها جعلت من CORS تقنية أساسية تمكن تطبيقات الويب الحديثة من العمل بأمان وفعالية.

مراحل تطوير CORS

حدود سياسة الأصل الواحد
ظهور حلول مبكرة مثل JSONP (مع الثغرات)
تطوير المعايير بواسطة W3C
تقديم آلية طلب الطيران المسبق
الاعتماد الواسع من قبل المتصفحات الحديثة

اليوم، يعد CORS آلية حيوية تمكن تطبيقات الويب من تبادل البيانات بأمان من مصادر مختلفة. ومع ذلك، فإن التكوين الصحيح وتنفيذ كورس له أهمية كبيرة لمنع الثغرات الأمنية. يمكن أن تسمح سياسة CORS الخاطئة للجهات الخبيثة بالوصول إلى بيانات حساسة. لذلك، يحتاج مطوري الويب إلى فهم جيد للمبادئ الأساسية ل CORS وطرق التكوين الصحيحة.

لماذا تستخدم CORS؟ الفوائد الرئيسية

الموارد متعددة الأصول المشاركة (CORS) هي آلية لا غنى عنها لتعزيز أمان ووظائف تطبيقات الويب الحديثة. يوفر مرونة كبيرة لمطوري الويب من خلال تمكين تبادل البيانات الآمن بين مصادر لا تحمل نفس المصدر. تسهل هذه المرونة التي يوفرها CORS دمج الخدمات في مجالات مختلفة وتثري تجربة المستخدم.

واحدة من الفوائد الرئيسية ل CORS هي تجاوز القيود التي تفرضها متصفحات الويب بسبب سياسة الأصل نفسه . تسمح هذه السياسة فقط لصفحة الويب بالوصول إلى الموارد بنفس البروتوكول، ونفس المنفذ (إذا تم تحديده)، ونفس المضيف. يسمح CORS للخوادم بتحديد المصادر التي يجب السماح بالطلبات منها، مما يخفف هذه القيود بأمان.

مزايا CORS

يوفر وصولا آمنا إلى واجهات برمجة التطبيقات في مجالات مختلفة.
يساعد ذلك في جعل تطبيقات الويب أكثر قابلية للتوسع.
توفر للمطورين المزيد من المرونة والتحكم.
يسمح ذلك بتكاملات تثري تجربة المستخدم.
من خلال تقليل الثغرات الأمنية، يجعل تطبيقات الويب أكثر أمانا.

في الجدول أدناه، يمكنك استكشاف الميزات والمزايا الرئيسية ل CORS بمزيد من التفصيل:

ميزة	توضيح	ميزة
طلبات الأصل المتقاطع	طلبات HTTP من نطاقات مختلفة.	يتيح مشاركة البيانات وتكامل الخدمات.
طلبات ما قبل الطيران	`خيارات` وهي التي تتحكم في سياسة CORS الخاصة بالخادم.	يضمن نقل البيانات الآمن ويمنع الثغرات الأمنية المحتملة.
الأصول المسموح بها	قائمة بالنطاقات التي يسمح الخادم بالطلبات منها.	يوفر وصولا آمنا ومتحكما للتحكم فيه.
دعم الاعتمادات	يتيح مشاركة المعلومات مثل ملفات تعريف الارتباط ورؤوس المصادقة.	يدعم جلسات المستخدمين والتجارب الشخصية.

يعد التكوين الصحيح ل CORS أمرا بالغ الأهمية لأمان تطبيقات الويب. يمكن أن تسمح سياسة CORS الخاطئة للمهاجمين بالوصول إلى بيانات حساسة أو تنفيذ كود خبيث. لذلك، فإن التخطيط الدقيق وتنفيذ تكوين CORS له أهمية كبيرة لضمان أمان الويب.

ما هي خطوات تكوين CORS؟ دليل بسيط

الموارد متعددة الأصول تعد مشاركة التكوين (CORS) أمرا حيويا لتأمين تطبيقات الويب الخاصة بك وتنظيم تبادل البيانات من مصادر مختلفة. يتيح لك هذا التكوين التحكم في وصول صفحة الويب إلى الموارد من خلال نطاق مختلف. يمكن أن تؤدي سياسة CORS المضبوطة بشكل خاطئ إلى ثغرات أمنية، بينما يعزز CORS المكتسب بشكل صحيح أمان تطبيقك ويضمن تشغيله بسلاسة.

قبل أن تبدأ في تكوين CORS، من المهم تحديد احتياجات تطبيقك والموارد التي يحتاج للوصول إليها. هذا يساعدك على فهم أي النطاقات موثوقة وأي طرق HTTP (مثل GET، POST، PUT، DELETE، إلخ) يجب أن تكون مسموحة. يتيح لك هذا التحليل اتخاذ خطوات تكوين إضافية أكثر وعيا.

خطوات تكوين CORS

قم بتحليل الاحتياجات: حدد الموارد التي تحتاج إلى الوصول إليها.
تكوين جانب الخادم: قم بإعداد رؤوس HTTP مناسبة على جانب الخادم.
تعيين رأس الأصل بشكل صحيح: حدد النطاقات المسموح بها.
حدد طرق HTTP: حدد الطرق المسموح بها (GET، POST، إلخ).
إعداد بيانات الاعتماد: السماح بإرسال ملفات تعريف الارتباط وبيانات الاعتماد.
إدارة الأخطاء: التعامل مع أخطاء CORS بشكل صحيح.

أثناء تكوين CORS، من الضروري تعيين رؤوس HTTP المناسبة على جانب الخادم. يحدد رأس 'Access-Control-Allow-Origin' أي النطاقات يمكنها الوصول إلى المورد. يحدد رأس 'طرق الوصول والتحكم-المسموح بها' أي طرق HTTP يمكن استخدامها. يحدد رأس 'Access-Control-Allow-Headers' أي الرؤوس المخصصة يمكن تضمينها في الطلب. التكوين الصحيح لهذه الرؤوس يضمن أن تطبيقك يعمل بأمان ومتوافق.

رأس HTTP	توضيح	قيمة العينة
التحكم في الوصول - السماح - الأصل	مجالات الموارد المسموح بها	https://example.com
طرق السماح بالتحكم في الوصول	طرق HTTP المسموح بها	احصل عليه، انطلق، وضع
التحكم في الوصول - السماح - الرؤوس	المسموح بالحصول على عناوين مخصصة	نوع المحتوى، التفويض
التحكم في الوصول - السماح - بيانات الاعتماد	السماح بإرسال ملفات تعريف الارتباط	حقيقي

من المهم التعامل بشكل صحيح مع أخطاء CORS وتقديم ملاحظات ذات معنى لمستخدميك. غالبا ما تكون أخطاء CORS التي تظهر في وحدة تحكم المتصفح علامة على سياسة CORS غير مضبوطة بشكل صحيح. لإصلاح هذه الأخطاء، تحقق من إعدادات الخادم وقم بإجراء التصحيحات اللازمة. بالإضافة إلى ذلك، قم بمراجعة سياسات كورس بانتظام واحتفظ بتحديث ذلك لتعزيز أمان تطبيقك.

مشاركة الموارد عبر المنشأ: التفاصيل التقنية

الموارد متعددة الأصول المشاركة (CORS) هي آلية تسمح من خلالها متصفحات الويب للصفحات المحملة من مصدر معين بالوصول إلى الموارد من مصدر مختلف. ببساطة، يتيح لصفحة الويب طلب الموارد من خلال نطاق أو بروتوكول أو منفذ مختلف. تعد هذه الآلية ضرورية لتلبية المتطلبات الحديثة لتطبيقات الويب. ومع ذلك، يمكن أن يشكل مخاطر أمنية خطيرة إذا لم يتم تكوينه بشكل صحيح.

قبل الغوص في التفاصيل التقنية ل CORS، من المهم فهم مفهوم الأصل. يتكون المورد من مزيج من البروتوكول (http/https)، النطاق (example.com)، والمنفذ (80/443). إذا كان أي من هذه المكونات الثلاثة مختلفا، فيعتبر المصدران مختلفين. تم تشكيل CORS حول سياسة الأصل نفسه، وهي إجراء أمني تنفذه المتصفحات.

سيناريو	مصدر الطلب	المصدر المستهدف	هل CORS ضروري؟
نفس المجال	http://example.com	http://example.com/api	لا
ميناء مختلف	http://example.com:8080	http://example.com:3000/api	نعم
بروتوكول مختلف	http://example.com	https://example.com/api	نعم
المجال المختلف	http://example.com	http://api.example.com/api	نعم

يتم التحكم في CORS عبر رؤوس HTTP على جانب الخادم. عندما يقوم المتصفح بطلب عبر الأصل، يرد الخادم على الطلب برؤوس CORS محددة. تحدد هذه الرؤوس الموارد المسموح لها بالوصول إلى المتصفح، وما هي طرق HTTP (مثل GET، POST، إلخ) التي يمكن استخدامها، وما هي الرؤوس المخصصة التي يمكن إرسالها. أهم رأس يرسله الخادم هو التحكم في الوصول - السماح - الأصل رأس الرأسه. يحدد هذا الرأس الموارد المسموح لها بالوصول إليها. يمكن استخدام مصدر واحد أو عدة مصادر أو بطاقة غير متوقعة (*) كقيمة. عندما تستخدم بطاقة غير متوقعة، يسمح بجميع الموارد، لكن هذا قد يكون محفوفا بالمخاطر من ناحية الأمان.

ميزات الموارد عبر الأصول

التحكم في الوصول-السماح-الأصل: يشير إلى المصادر المسموح بها.
طرق التحكم في الوصول المسموح بها: يحدد طرق HTTP المسموح بها.
التحكم في الوصول - السماح - الرؤوس: يحدد العناوين المخصصة المسموح بها.
access-control-expose-headers: يحدد العناوين التي يمكن للمتصفح الوصول إليها.
التحكم في الوصول - السماح - بيانات الاعتماد: يحدد ما إذا كانت الاعتمادات (كوكيز، مصادقة HTTP) مسموح بإرسالها.

تدعم آلية CORS نوعين من الطلبات: الطلبات البسيطة وطلبات الطيران المسبق. الطلبات البسيطة هي طلبات تستوفي شروطا معينة (على سبيل المثال، باستخدام طرق GET أو HEAD أو POST واستخدام رؤوس معينة). أما طلبات الرحلة المسبقة، فهي طلبات أكثر تعقيدا ويتم إرسال طلب ما قبل الطيران إلى الخادم باستخدام طريقة OPTIONS للتحقق مما إذا كان يمكن إرسال الطلب الفعلي بأمان.

CORS والأمن

بينما تم تصميم CORS لتعزيز أمان تطبيقات الويب، إلا أنه قد يخلق ثغرات إذا تم إعدادها بشكل خاطئ. على سبيل المثال، التحكم في الوصول - السماح - الأصل استخدام ورقة غير مشفرة (*) في عنوانه قد يسمح لموقع خبيث بالوصول إلى بيانات حساسة. لذلك، من المهم تحديد الموارد التي يسمح لها بالوصول بعناية.

نقطة أخرى يجب أخذها في الاعتبار من حيث الأمان هي التحكم في الوصول - السماح - بيانات الاعتماد استخدام لوح الرأس. يسمح هذا الرأس بإرسال بيانات الاعتماد (ملفات تعريف الارتباط، مصادقة HTTP) مع طلبات عبر المنشأ. إذا تم تفعيل هذا الرأس عن طريق الخطأ، يمكن أن تصبح هجمات مثل البرمجة عبر المواقع (XSS) أكثر خطورة.

CORS والأداء

يمكن أن يكون لتكوين CORS أيضا تأثيرات على الأداء. تتسبب طلبات الطيران المسبقية في إرسال طلب HTTP إضافي لكل طلب عبر المنشأ. وهذا يمكن أن يؤثر سلبا على الأداء، خاصة في التطبيقات التي تقدم طلبات متعددة المصادر بشكل متكرر. لذلك، يمكن استخدام تقنيات تحسين مختلفة لتقليل طلبات الطيران المسبق. على سبيل المثال، استخدام طلبات بسيطة أو استخدام آليات تخزين مؤقت على جانب الخادم يمكن أن يحسن الأداء.

من المهم اختبار ومراقبة تكوين CORS بشكل صحيح. باستخدام أدوات مطوري المتصفح أو أدوات اختبار CORS المتخصصة، يمكن اكتشاف أخطاء CORS وحلها. بالإضافة إلى ذلك، يجب إجراء فحوصات منتظمة لضمان ضبط رؤوس CORS بشكل صحيح على جانب الخادم.

معلومات حول أخطاء وحلول CORS

الموارد متعددة الأصول أخطاء المشاركة (CORS) هي واحدة من المشاكل الشائعة التي تواجهها عملية تطوير الويب. تحدث هذه الأخطاء عندما تحاول صفحة ويب الوصول إلى موارد (مثل ملفات جافا سكريبت، CSS، أو بيانات API) من نطاق مختلف. لأسباب أمنية، تطبق المتصفحات سياسة من نفس المصدر، والتي تحظر الطلبات من مصادر مختلفة بشكل افتراضي. يعد CORS آلية تم تطويرها لتخفيف هذه القيود وتمكين تبادل البيانات الآمن من مصادر مختلفة. ومع ذلك، فإن الأخطاء في الإعدادات أو الإعدادات المفقودة قد تؤدي إلى أخطاء في CORS.

رمز الخطأ	توضيح	الحل المحتمل
لا يوجد رأس 'Access-Control-Alsource-Origin' على المورد المطلوب.	لا يحتوي الخادم على الرأس 'Access-Control-Allow-Origin' للمورد المطلوب.	على جانب الخادم، قم بتكوين رأس 'Access-Control-Allow-Origin'.
رأس 'Access-Control-Allow-Origin' يحتوي على القيمة غير الصالحة 'null'.	رأس 'Access-Control-Allow Alorigin' يحتوي على قيمة 'null' غير صالحة.	على جانب الخادم، حدد اسم النطاق الصحيح أو '*' (لجميع الموارد).
تم حظر طلب الأصل العابر: سياسة نفس المصدر تمنع قراءة المورد البعيد.	نفس سياسة الموارد تمنع قراءة المورد البعيد.	تحقق من إعدادات CORS وقدم الأذونات اللازمة على جانب الخادم.
قناة CORS قبل الطيران لم تنجح.	طلب الرحلة المسبق لبرنامج CORS فشل.	قم بتكوين رؤوس CORS الصحيحة لطلب OPTIONS على جانب الخادم.

فهم وحل أخطاء CORS أمر بالغ الأهمية لتشغيل تطبيقات الويب بسلاسة. عادة ما يتم الإشارة إلى هذه الأخطاء من خلال رسائل خطأ مفصلة في وحدة تحكم المتصفح. تقدم هذه الرسائل أدلة مهمة لفهم مصدر الخطأ والحلول المحتملة. على سبيل المثال، إذا كانت رسالة خطأ تشير إلى أن الخادم لا يحتوي على رأس 'Access-Control-Allow-Origin'، فمن الضروري تكوين هذا الرأس بشكل مناسب على جانب الخادم. بالإضافة إلى ذلك، قد يشير فشل طلبات الإرسال المسبقة إلى أن الخادم لا يتعامل مع طلبات OPTIONS بشكل صحيح.

أخطاء CORS وطرق الحل

إعداد رأس 'Access-Control-Allow-origin': على جانب الخادم، قم بضبط هذا الرأس بشكل صحيح لتحديد النطاقات التي يمكنها الوصول إلى المورد.
التعامل مع طلبات ما قبل الطيران: تأكد من أن خادمك يتعامل مع طلبات OPTIONS بشكل صحيح.

استخدام خادم البروكسي: لتجاوز مشاكل CORS، يمكنك استخدام خادم وكيل يوجه الطلبات عبر خادمك الخاص.

استخدام JSONP (في الحالات المحدودة): لطلبات GET، يمكن استخدام تقنية JSONP (JSON مع الحشو) في بعض الحالات، لكن هذه الطريقة أقل أمانا.

مراجعة رسائل الخطأ بعناية: رسائل الخطأ في وحدة تحكم المتصفح تحتوي على معلومات مهمة لفهم مصدر المشكلة.

إضافات وأدوات CORS: يمكن لإضافات المتصفح أو الأدوات الإلكترونية مساعدتك في تحديد أخطاء CORS واستكشاف الأخطاء.

عادة ما يرتبط حل أخطاء CORS بتكوينات الخادم. ومع ذلك، في بعض الحالات، يمكن أيضا إنتاج حلول من جهة العميل. على سبيل المثال، يمكن التغلب على مشاكل CORS باستخدام خادم بروكسي أو تجربة طرق بديلة لاسترجاع البيانات مثل JSONP. ومع ذلك، من المهم ملاحظة أن مثل هذه الحلول ليست دائما الخيار الأفضل وقد تشكل مخاطر أمنية. الحل الأكثر أمانا وديمومة هو تكوين رؤوس CORS الصحيحة على جانب الخادم. يضمن إعداد CORS بشكل صحيح الأمان وتمكين تبادل البيانات من مصادر مختلفة.

واحدة من أهم النقاط حول CORS هي قضية حماية . بينما يعد CORS آلية مصممة لتعزيز أمان تطبيقات الويب، إلا أن سوء التكوينات قد يؤدي إلى ثغرات أمنية. على سبيل المثال، تعيين رأس 'Access-Control-Allow-Origin' على '*' يعني أن جميع النطاقات يمكنها الوصول إلى المورد، وهو أمر قد يكون محفوفا بالمخاطر من ناحية الأمان. لذلك، من المهم إجراء تكوينات CORS بعناية والسماح فقط بالمصادر الموثوقة. يحتاج مطورو الويب إلى فهم جيد لكيفية عمل CORS والمخاطر الأمنية المحتملة.

استراتيجيات لتعزيز أمن CORS

الموارد متعددة الأصول المشاركة (CORS) هي آلية حيوية لتأمين تطبيقات الويب. ومع ذلك، مع التدابير الأمنية غير المكتملة أو غير المكونة من الإعدادات، يمكن أن يؤدي CORS إلى ثغرات محتملة. لذلك، من المهم تنفيذ استراتيجيات متنوعة لتعزيز أمن CORS. تم تصميم هذه الاستراتيجيات لمنع الوصول غير المصرح به، وحماية البيانات الحساسة، وتعزيز الأمان العام لتطبيقات الويب.

لتعزيز أمان CORS، الخطوة الأولى هي تكوين رأس Origin بشكل صحيح. على جانب الخادم، يجب السماح فقط بالمصادر الموثوقة والمخولة (المصدر) للوصول. يجب تجنب استخدام البطاقات البرية (*)، لأنها تزيد من مخاطر الأمان من خلال السماح بالوصول إلى جميع الموارد. بدلا من ذلك، يجب إنشاء قائمة بالموارد المحددة ويجب منح الوصول فقط لتلك الموارد.

استراتيجيات CORS للأمن

لا تسمح بأصول محددة: * حدد أصولا محددة وموثوقة بدلا من ذلك.
إدارة طلبات ما قبل الطيران بشكل صحيح: تعامل مع طلبات OPTIONS بعناية وتحقق من وجود أي رؤوس ضرورية.
استخدام رؤوس آمنة: قم بتكوين رأس Access-Control-Allow-Headers بشكل صحيح.
تعزيز المصادقة: اتخذ إجراءات أمنية إضافية لملفات تعريف الارتباط ولافتات التفويض.
تحسين إدارة الأخطاء: إنشاء أنظمة مراقبة لاكتشاف وتصحيح تكوينات CORS غير الصحيحة.
إجراء تدقيقات أمنية منتظمة: اختبر وحدث إعدادات CORS بانتظام.

يحتوي الجدول التالي على بعض العناوين ووصفها التي يمكن استخدامها لتحسين أمان CORS. التكوين الصحيح لهذه الرؤوس ضروري لمنع الوصول غير المصرح به وضمان أمان البيانات.

عنوان	توضيح	قيمة العينة
التحكم في الوصول - السماح - الأصل	يحدد الموارد التي يسمح بالوصول إليها.	https://example.com
طرق السماح بالتحكم في الوصول	يحدد طرق HTTP المسموح بها.	احصل عليه، نشر، وضع، حذف
التحكم في الوصول - السماح - الرؤوس	يحدد الألقاب المسموح بها.	نوع المحتوى، التفويض
التحكم في الوصول - السماح - بيانات الاعتماد	يحدد ما إذا كان مسموحا له بإرسال بيانات الاعتماد (ملفات تعريف الارتباط، رؤوس التفويض).	حقيقي

تحتاج تكوينات CORS إلى تدقيق وتحديث منتظم . مع ظهور ثغرات وتهديدات جديدة، من المهم تعديل سياسات CORS وفقا لذلك. بالإضافة إلى ذلك، يجب أيضا مراجعة سياسات CORS لجميع مكتبات وخدمات الطرف الثالث التي يستخدمها تطبيق الويب. وبهذه الطريقة، يمكن تقليل المخاطر الأمنية المحتملة وضمان الأمان العام لتطبيق الويب.

سياسات وأمثلة تطبيقات CORS

الموارد متعددة الأصول تحدد سياسات المشاركة (CORS) آليات الأمان في متصفحات الويب التي تقيد صفحات الويب المحملة من مصدر معين من الوصول إلى الموارد من مصدر مختلف. تهدف هذه السياسات إلى تعزيز أمان المستخدمين من خلال منع المواقع الخبيثة من الوصول إلى بيانات حساسة. بشكل أساسي، يسمح CORS لتطبيق الويب باسترجاع البيانات فقط من مصادر مسموح بها، مما يمنع الوصول غير المصرح به.

يتم تحديد تنفيذ سياسات CORS بواسطة تكوينات على جانب الخادم. يحدد الخادم الموارد المسموح لها بالوصول عبر رؤوس HTTP. من خلال النظر إلى هذه الرؤوس، يتحقق المتصفح مما إذا كان المورد الذي تم تقديم الطلب منه مسموحا به. إذا لم يسمح بوجود المورد، يقوم المتصفح بحجب الطلب ويعرض رسالة خطأ في وحدة تحكم جافاسكريبت. وبهذه الطريقة، يمكن لتطبيقات الويب العمل بأمان دون أي تغييرات على جانب العميل.

رأس HTTP	توضيح	قيمة العينة
التحكم في الوصول - السماح - الأصل	يحدد الموارد المسموح بها.	https://example.com
طرق السماح بالتحكم في الوصول	يحدد طرق HTTP المسموح بها.	احصل عليه، انطلق، وضع
التحكم في الوصول - السماح - الرؤوس	يحدد رؤوس مخصصة مسموح بها.	رأس X-مخصص، نوع المحتوى
التحكم في الوصول - السماح - بيانات الاعتماد	يحدد ما إذا كان يجب إرسال بيانات الاعتماد (ملفات تعريف الارتباط، رؤوس التفويض).	حقيقي

قد يكون تكوين سياسات CORS أحيانا معقدا، وقد تؤدي الأخطاء في التهيئة إلى ثغرات أمنية. على سبيل المثال، التحكم في الوصول-السماح-الأصل: * استخدامه يعني السماح بالوصول إلى جميع الموارد، وهو أمر قد يكون محفوفا بالمخاطر في بعض الحالات. لذلك، من المهم إعداد سياسات CORS بعناية والسماح فقط بالموارد اللازمة. يوصي خبراء الأمن بمراجعة تكوينات CORS بانتظام وإجراء اختبارات أمنية.

تطبيقات CORS على متصفحات مختلفة

قد يختلف تطبيق سياسات CORS قليلا بين المتصفحات. لكن بشكل عام، جميع المتصفحات الحديثة تدعم معايير CORS وتعمل وفقا لنفس المبادئ الأساسية. تقوم المتصفحات بتحليل رؤوس HTTP من الخادم للتحقق مما إذا كان المورد الذي تم تقديم الطلب منه مسموحا به. إذا لم يسمح بوجود مورد، يقوم المتصفح بحظر الطلب ويظهر رسالة خطأ للمستخدم.

فيما يلي بعض الأمثلة على تطبيقات تكوين واختبار سياسات CORS:

إعداد رؤوس CORS على جانب الخادم: على جانب الخادم، حدد الموارد المسموح لها بالوصول إليها عن طريق تعيين رؤوسها المناسبة التحكم في الوصول - السماح - الأصل .
إدارة طلبات ما قبل الطيران: خيارات الرد بشكل صحيح على طلبات ما قبل الطيران التي تم تقديمها بالطريقة، لضمان سير طلبات CORS المعقدة بسلاسة.
إدارة الاعتمادات: التحكم في الوصول - السماح - بيانات الاعتماد الرأس للسماح أو منع إرسال بيانات الاعتماد مثل ملفات تعريف الارتباط ورؤوس التفويض.
استخدام أدوات التصحيح: اكتشف أخطاء CORS باستخدام أدوات تطوير المتصفح وضبط إعدادك وفقا لذلك.
إجراء اختبارات الأمان: قم بإجراء فحوصات أمنية منتظمة لاختبار أمان تكوين CORS الخاص بك وتحديد أي ثغرات محتملة.
أفضل الممارسات التالية: اتبع أفضل إرشادات الممارسات الخاصة ب CORS لضمان تكوين آمن وفعال.

يعد CORS جزءا أساسيا من أمن الويب، وعند تكوينه بشكل صحيح، يمكنه تعزيز أمان تطبيقات الويب بشكل كبير. ومع ذلك، يمكن أن تؤدي الأخطاء أو النقص في التكوينات إلى ثغرات أمنية. لذلك، فإن فهم وتنفيذ سياسات CORS بشكل صحيح أمر بالغ الأهمية لمطوري الويب والمتخصصين في الأمن.

يعد CORS أداة لا غنى عنها لتأمين تطبيقات الويب الحديثة. سياسات CORS المهيأة بشكل صحيح تحمي بيانات المستخدم من خلال منع الوصول غير المصرح به.

المفاهيم الخاطئة الشائعة حول CORS

الموارد متعددة الأصول المشاركة (CORS) موضوع غالبا ما يساء فهمه بين مطوري الويب. هذه السوء الفهم قد يؤدي إلى مخاوف أمنية غير ضرورية أو تكوينات خاطئة. امتلاك فهم واضح لما يفعله CORS وما لا يفعله أمر بالغ الأهمية لضمان أمان ووظائف تطبيقات الويب الخاصة بك.

يرى العديد من المطورين أن CORS هو نوع من الجدار الناري. ومع ذلك، هذا غير صحيح. كورس هو آلية أمان تنفذها المتصفحات، تسمح للخادم بتحديد النطاقات التي يمنحها الوصول إلى موارد محددة. بدلا من منع الهجمات الخبيثة، يقيد CORS الوصول إلى الموارد غير المصرح بها على جانب العميل .

المفاهيم الخاطئة والحقائق

خطأ: يحمي CORS المواقع الإلكترونية من جميع الهجمات عبر المنشأ. حقيقي: يقيد CORS فقط الطلبات التي يتم تنفيذها بواسطة المتصفحات وتلتزم بالسياسات المحددة من قبل الخادم.
خطأ: تعطيل CORS يجعل موقعي أكثر أمانا. حقيقي: تعطيل CORS يمكن أن يجعل موقعك أكثر عرضة لهجمات مثل البرمجة عبر المواقع (XSS).
خطأ: CORS ينطبق فقط على طلبات GET. حقيقي: كما أنه صالح لطرق HTTP أخرى مثل CORS، وضع، نشر، حذف.
خطأ: أخطاء CORS دائما تشير إلى وجود مشكلة على جانب الخادم. حقيقي: يمكن أن تحدث أخطاء CORS بسبب تكوينات الخادم وجانب العميل.
خطأ: لا يؤثر CORS على الطلبات في نفس المجال. حقيقي: يظهر CORS عندما تكون هناك اختلافات في البروتوكول (http/https)، واسم النطاق، والمنفذ.

يلخص الجدول التالي بعض السيناريوهات الشائعة مع CORS والتكوينات الصحيحة التي يجب إعدادها في هذه السيناريوهات. سيساعدك هذا الجدول على فهم وتطبيق CORS بشكل صحيح.

سيناريو	توضيح	رأس CORS المطلوب
طلب بسيط (GET, HEAD)	طلب GET أو HEAD بسيط من عبر الأصل.	`التحكم في الوصول-السماح-الأصل: *` أو اسم نطاق محدد
طلب ما قبل الرحلة (الخيارات)	الطلبات التي تتم باستخدام طرق مثل PUT أو DELETE وتحتوي على رؤوس خاصة وتقديمها.	`التحكم في الوصول-السماح-الأصل: *`, , `Access-Control-Allow-Methods: PUT, DELETEAccess-Control-Allow-Headers: Content-Type`
المؤهلات	طلبات تحتوي على ملفات تعريف ارتباط أو رؤوس تفويض.	`Access-Control-Allow-Origin: belirli bir alan adı`, `التحكم في الوصول - السماح - بيانات الاعتماد: صحيح`
السماح بأي نطاق	لا تسمح بالطلبات من جميع النطاقات.	`التحكم في الوصول-السماح-الأصل: *` (يجب استخدامه بحذر لأنه قد يسبب ثغرة أمنية)

الفهم الصحيح ل CORS هو المفتاح لتعزيز أمان ووظائف تطبيقات الويب الخاصة بك. لذلك، من المهم معالجة المفاهيم الخاطئة حول CORS واعتماد الممارسات الصحيحة. تذكر أنه رغم أن CORS يوفر طبقة أمان إضافية ، إلا أنه ليس حلا أمنيا مستقلا. يجب استخدامه مع احتياطات السلامة الأخرى.

أهم النقاط التي يجب معرفتها عن CORS

الموارد متعددة الأصول المشاركة (CORS) هي آلية حيوية لتأمين تطبيقات الويب الحديثة. ببساسة، يتحكم في كيفية وصول صفحة الويب إلى الموارد (مثل جافا سكريبت، الخطوط، الصور) من نطاق مختلف. تفرض المتصفحات نفس سياسة الأصل نفسه بشكل افتراضي، مما يحد من الوصول من مصدر إلى آخر. يخفف CORS هذه القيود بأمان، مما يوفر مرونة للمطورين.

لفهم كيفية عمل CORS، من المهم فحص رؤوس HTTP، التي تشير إلى مصادر الخادم التي يسمح بها العميل باستخدامها. على سبيل المثال، التحكم في الوصول - السماح - الأصل يحدد الرأس أي المصادر يمكنها الوصول إلى المورد. إذا تم تحديد أصل العميل في هذا الرأس أو تم استخدام بطاقة غير مرتبة (*)، يسمح بالوصول. ومع ذلك، فإن استخدام الورقة البرية مع البيانات الحساسة قد يشكل مخاطر أمنية.

عناوين ومعاني CORS

اسم العنوان	توضيح	قيمة العينة
التحكم في الوصول - السماح - الأصل	يحدد المصادر التي يمكنها الوصول إلى المصدر.	https://example.com، *
طرق السماح بالتحكم في الوصول	يحدد طرق HTTP المسموح بها.	احصل عليه، انطلق، وضع
التحكم في الوصول - السماح - الرؤوس	يحدد الألقاب المسموح بها.	نوع المحتوى، التفويض
رؤوس الوصول إلى التحكم في التعرض-التعرض	يحدد الرؤوس التي يجب عرضها على العميل.	رأس X-مخصص

أخطاء CORS هي مشاكل شائعة في عملية التطوير. السبب الجذري لهذه الأخطاء هو أن الخادم لا يرسل رؤوس CORS الصحيحة. عادة ما تظهر رسائل الخطأ في وحدة تحكم المتصفح وتساعدك على فهم مصدر المشكلة. لحل هذه الأخطاء، من الضروري إجراء التكوينات الصحيحة على جانب الخادم وإضافة الرؤوس اللازمة.

أشياء يجب مراعاتها عند استخدام CORS

اضبط الرأس الصحيح التحكم في الوصول - السماح - الأصل على جانب الخادم.
تجنب استخدام البطاقات البرية (*) عند العمل مع البيانات الحساسة.
حدد بوضوح طرق HTTP المسموح بها (طرق السماح بالتحكم في الوصول).
قم بتكوين الرؤوس المسموح بها (التحكم في الوصول - السماح - الرؤوس) بشكل صحيح.
تأكد من معالجة طلبات ما قبل الرحلة بشكل صحيح (طلب الخيارات).
في حال حدوث خطأ، تحقق من وحدة تحكم المتصفح لتحديد مصدر المشكلة.
تغلب على المشاكل باستخدام خوادم بروكسي CORS عند الحاجة.

من المهم ملاحظة أن CORS ليس مجرد آلية أمان، بل هو أيضا أداة تعزز وظائف تطبيقات الويب. عند التكوين بشكل صحيح، يمكن إنشاء تجارب ويب أكثر ثراء وتفاعلية مع القدرة على سحب ومشاركة البيانات من مصادر مختلفة. ومع ذلك، من المهم تقليل المخاطر المحتملة من خلال إعطاء الأولوية دائما لتدابير الأمان.

الأسئلة الشائعة

لماذا تعتبر CORS حاسمة جدا لأمن تطبيقات الويب؟

تتحكم CORS في تطبيقات الويب القائمة على المتصفحات من استرجاع البيانات من مصادر مختلفة (نطاق، بروتوكول، منفذ)، مما يمنع المواقع الخبيثة من الوصول إلى بيانات المستخدم. هذا يحمي خصوصية المستخدم ونزاهة التطبيقات. في جوهره، يعمل كجدار حماية.

كيف بدأت عملية تطوير CORS وما هي الاحتياجات التي نشأت منها؟

ولدت CORS من حاجة نشأت مع تزايد وصول تطبيقات الويب إلى واجهات برمجة التطبيقات. كانت سياسة الأصل الواحد مقيدة جدا في بعض الحالات، وكان هناك حاجة لآلية تسمح للمطورين بتبادل البيانات بأمان من مجالات مختلفة. تم توحيده من قبل W3C وتم اعتماده من قبل متصفحات الويب مع مرور الوقت.

ما هي الطرق البديلة الأخرى التي يمكن تفضيلها على استخدام CORS، وما هي مزايا CORS مقارنة بغيرها؟

يمكن استخدام طرق مثل JSONP (JSON مع الحشوة) كبديل ل CORS. ومع ذلك، يدعم JSONP فقط طلبات GET وهو أقل أمانا. يدعم CORS كل من GET وطرق HTTP الأخرى (POST، PUT، DELETE، إلخ) ويوفر آلية أكثر أمانا. بالإضافة إلى ذلك، يسمح CORS بمزيد من الضبط الدقيق على جانب الخادم.

ما هي أبسط الخطوات لجعل تكوين CORS أكثر وضوحا، وما هي الاعتبارات؟

تشمل الخطوات الرئيسية في تكوين CORS تعيين رأس 'Access-Control-Allow-Origin' على جانب الخادم. يحدد هذا الرأس النطاقات المسموح لها بالوصول إلى المورد. أهم نقطة يجب ملاحظتها هي أن استخدام حرف '*' يتم التحكم فيه. إذا لم يكن ذلك مطلوبا، يجب تحديد نطاقات محددة.

ما هو بالضبط طلب ما قبل الطيران (طلب الخيارات) وما هو دوره في آلية CORS؟

طلب الطيران المسبق هو إجراء مسبق يقوم به المتصفح قبل إرسال الطلب الأصلي إلى الخادم. طريقة OPTIONS وتسأل الخادم عما إذا كان الطلب الأصلي (مثل POST) مسموحا بتقديمه. يستخدم هذا كإجراء أماني، خاصة للطلبات غير "الطلبات البسيطة". إذا استجاب الخادم لهذا الطلب برؤوس CORS المناسبة، يتم إرسال الطلب الفعلي.

ما هي أكثر الأسباب وضوحا لأخطاء CORS الشائعة وما هي الحلول العملية لإصلاح هذه الأخطاء؟

تشمل الأسباب الشائعة لأخطاء CORS رؤوس CORS غير صحيحة أو مفقودة على جانب الخادم، وعدم تطابق المجال، وفشل الطيران المسبق. تشمل توصيات الحلول فحص رؤوس CORS على الخادم، وتكوين النطاقات المسموح بها بشكل صحيح، والتأكد من إتمام طلب الرحلة المسبقة بنجاح.

ما هي التقنيات والاستراتيجيات المتقدمة التي يمكن تنفيذها لتعزيز أمان CORS؟

يمكن اتخاذ تدابير أمنية إضافية لتعزيز أمان CORS، مثل الاستخدام الدقيق لرأس 'Access-Control-Allow-Credentials'، وجعل الرؤوس اللازمة متاحة فقط للجانب العميل مع رأس 'Access-Control-Expose-Headers'، والتحقق على رأس 'Origin' على جانب الخادم، وسلامة الموارد الفرعية (SRI).

ما هي أكثر سوء الفهم شيوعا حول CORS بين المطورين، وما الذي يمكن قوله لمعالجة هذه المفاهيم الخاطئة؟

أكثر المفاهيم الخاطئة شيوعا حول CORS هي أن القيمة '*' تعني 'السماح للجميع' وهي دائما آمنة. هذا غير صحيح. لا يمكن استخدام قيمة '*' في الطلبات التي تتطلب بيانات اعتماد وتشكل مخاطر أمنية محتملة. من المهم للمطورين تحديد نطاقات محددة وفهم كامل لما يعنيه عنوان 'التحكم في الوصول-السماح-الاعتمادات'.

لمزيد من المعلومات: MDN Web Docs: مشاركة الموارد عبر الأصول (CORS)