Bu bloq yazısı veb tərtibatçılarının tez-tez qarşılaşdıqları Cross-Origin Resource Sharing (CORS) problemlərinə diqqət yetirir. Bu, CORS-in nə olduğunu, onun əsas prinsiplərini və nə üçün vacib olduğunu izah etməklə başlayır. Daha sonra CORS səhvlərinin necə baş verdiyini və onları necə həll edəcəyini araşdırır. O, həmçinin təhlükəsiz və effektiv CORS tətbiqi üçün ən yaxşı təcrübələri və əsas mülahizələri vurğulayır. Bu bələdçi veb tətbiqlərinizdə CORS ilə əlaqəli problemləri başa düşməyinizə və həll etməyə kömək etmək məqsədi daşıyır.

CORS nədir? Əsas məlumat və onun əhəmiyyəti

Cross-Origin Resource Sharing (CORS)Veb-brauzerlərə veb-səhifəyə fərqli domendən resurslara daxil olmaq imkanı verən təhlükəsizlik mexanizmi. Əslində, o, veb tətbiqinin öz domenindən kənar resurslara (məsələn, API-lər, şriftlər, şəkillər) çıxışını tənzimləyir. Varsayılan olaraq, eyni mənşəli siyasətə görə brauzerlər bir domendən digərinə sorğuları bloklayır. CORS bu məhdudiyyəti etibarlı şəkildə keçməyin bir yolunu təklif edir.

CORS-in əhəmiyyəti müasir veb proqramların mürəkkəbliyindən və bir çox mənbədən məlumatların çıxarılması ehtiyacından irəli gəlir. Bir çox veb proqramlar API-lərə, CDN-lərə və ya müxtəlif serverlərdə yerləşdirilən digər xarici mənbələrə əsaslanır. CORS olmadan, bu resurslara giriş mümkün olmayacaq və veb proqramların funksionallığını ciddi şəkildə məhdudlaşdıracaq. CORSO, tərtibatçılara veb proqramlarının təhlükəsizliyini qoruyarkən müxtəlif mənbələrdən məlumatları götürmək üçün rahatlıq verir.

Aşağıdakı cədvəldə, CORSƏsas anlayışlar və əməliyyatlar ümumiləşdirilir:

Konsepsiya	İzahat	Əhəmiyyət
Eyni Mənşə Siyasəti	O, brauzerlərin bir mənbədən yüklənmiş skriptlərlə fərqli mənbədən resurslara daxil olmasının qarşısını alır.	O, təhlükəsizliyi təmin edir və zərərli skriptlərin həssas məlumatlara daxil olmasının qarşısını alır.
Cross-Origin Sorğu	Veb səhifənin domenindən fərqli bir domenə edilən HTTP sorğusu.	Bu, müasir veb proqramlara müxtəlif API və resurslara daxil olmaq imkanı verir.
CORS Başlıqlar (CORS Başlıqlar)	Çarpaz mənşəli sorğulara icazə vermək üçün serverin cavab başlıqlarına əlavə etdiyi xüsusi başlıqlar.	O, brauzerə hansı domenlərin resurslara daxil ola biləcəyini bildirir.
Uçuşdan əvvəl sorğu	Mürəkkəb mənşəli sorğular etməzdən əvvəl brauzerin OPTIONS metodu ilə serverə göndərdiyi sorğu.	Bu, serverə sorğunun qəbul edilib-edilmədiyini yoxlamağa imkan verir.

CORSƏsas əməliyyatı brauzerə HTTP cavab başlıqları vasitəsilə hansı resurslara giriş icazəsi verdiyini bildirən veb serverə əsaslanır. Server, Access-Control-Allow-Origin başlığı ilə hansı domenlərin öz resurslarına daxil ola biləcəyini müəyyən edir. Əgər sorğu edən domen bu başlığa daxil edilibsə və ya * (hər kəs) göstərilibsə, brauzer sorğunu qəbul edir. Əks halda, brauzer sorğunu bloklayır və a CORS xəta baş verir.

CORS-un əsas elementləri
• Giriş-nəzarət-icazə ver-mənşə: Hansı domenlərin resursa daxil ola biləcəyini müəyyənləşdirir.
• Girişə Nəzarət-İcazə Vermə Metodları: Hansı HTTP metodlarının (GET, POST, PUT, DELETE və s.) istifadə oluna biləcəyini müəyyənləşdirir.
• Giriş-nəzarət-İcazə ver-başlıqlar: Sorğuya daxil edilə bilən hər hansı xüsusi başlıqları müəyyən edir.
• Giriş-nəzarət-icazə verin-etimadnamələr: İdentifikasiyaedici məlumatın (kukilər, avtorizasiya başlıqları) daxil edilib-edilmədiyini müəyyən edir.
• Giriş-nəzarət-Maks-Yaş: Uçuşdan əvvəl sorğunun nəticələrinin nə qədər müddətə yaddaşda saxlanıla biləcəyini müəyyən edir.

CORS səhvlər tez-tez server tərəfində yanlış konfiqurasiyadan qaynaqlanır. Tərtibatçılar üçün yalnız etibarlı domenlərin resurslara daxil olmasına icazə vermək üçün serverlərini düzgün konfiqurasiya etmələri vacibdir. Bundan əlavə, CORS Ən yaxşı təcrübələrə riayət etmək təhlükəsizlik zəifliklərini minimuma endirməyə kömək edir.

CORSBu, təhlükəsizliyi qoruyarkən müxtəlif mənbələrdən məlumatları götürmək üçün çeviklik təmin edən müasir veb proqramların ayrılmaz hissəsidir. Düzgün konfiqurasiya edildikdə, o, veb proqramlarının funksionallığını genişləndirir və istifadəçi təcrübəsini yaxşılaşdırır.

Cross-Origin Resurs Paylaşımının İş Prinsipi

Cross-Origin Resurs CORS veb-brauzerlərə bir mənşədən olan veb səhifələrə fərqli mənşəli mənbələrə daxil olmaq imkanı verən mexanizmdir. Brauzerlər adətən eyni mənşəli siyasəti həyata keçirir, yəni veb səhifə yalnız eyni protokol, host və portu olan mənbədən resurslara daxil ola bilər. CORS bu məhdudiyyəti aradan qaldırmaq və müxtəlif mənşələr arasında təhlükəsiz məlumat mübadiləsini təmin etmək üçün hazırlanmışdır.

CORS-un əsas məqsədi veb proqramların təhlükəsizliyini təmin etməkdir. Eyni mənşəli prinsip zərərli saytların istifadəçilərin həssas məlumatlarına daxil olmasının qarşısını alır. Bununla belə, bəzi hallarda müxtəlif mənbələr arasında məlumat mübadiləsi zəruridir. Məsələn, veb tətbiqi başqa serverdə API-yə daxil olmaq tələb oluna bilər. CORS bu cür ssenarilər üçün təhlükəsiz həll təklif edir.

Ərazi	İzahat	Misal
Mənşə	Sorğunu başlatan resursun ünvanı.	http://example.com
Giriş-nəzarət-İcazə ver-mənşə	Serverin hansı resurslara icazə verdiyini müəyyənləşdirir.	http://example.com, *
Giriş-nəzarət-sorğu-metodu	Müştərinin hansı HTTP metodundan istifadə etmək istədiyini müəyyən edir.	POST, GET
Giriş-nəzarət-icazə vermək-metodları	Serverin icazə verdiyi HTTP metodlarını müəyyənləşdirir.	POST, GET, OPTIONS

CORS müştəri (brauzer) və server arasında bir sıra HTTP başlıqları vasitəsilə işləyir. Müştəri mənşəli sorğu göndərdikdə, brauzer avtomatik olaraq sorğuya Origin başlığını əlavə edir. Server sorğuya icazə verib-verməməyə qərar vermək üçün bu başlığı yoxlayır. Server sorğuya icazə verirsə, o, Access-Control-Allow-Origin başlığı ilə cavab verir. Bu başlıq sorğuya hansı resursların daxil ola biləcəyini müəyyən edir.

CORS Prosesi
1. Brauzer başqa mənbədən resurslar tələb edir.
2. Brauzer sorğuya Origin başlığını əlavə edir.
3. Server Origin başlığını qiymətləndirir.
4. Server Access-Control-Allow-Origin başlığı ilə cavab verir.
5. Brauzer cavabı yoxlayır və sorğuya icazə verir və ya bloklayır.

CORS-in necə işlədiyini başa düşmək veb tərtibatçıları üçün vacibdir. Səhv konfiqurasiya edilmiş CORS parametrləri veb tətbiqlərində təhlükəsizlik zəifliyinə səbəb ola bilər. Buna görə də, CORS-in necə işlədiyini və onun necə düzgün konfiqurasiya olunacağını başa düşmək təhlükəsiz və effektiv veb proqramlar hazırlamaq üçün vacibdir.

İcazələrin verilməsi prosesləri

CORS-da serverin hansı resurslara daxil olmasına icazə verildiyini müəyyən etmək üçün icazə proseslərindən istifadə olunur. Server, Giriş-nəzarət-İcazə ver-mənşə Başlıq vasitəsilə xüsusi resurslara icazə verə və ya bütün resurslara icazə verə bilərsiniz * xarakterdən istifadə edə bilər. Bununla belə, * Xarakterdən istifadə təhlükəsizlik riskləri yarada bilər, buna görə ehtiyatlı olmaq lazımdır. Xüsusi resurslara icazələrin verilməsi daha təhlükəsiz bir yanaşmadır, xüsusən də həssas data cəlb edildikdə.

Səhvlər və həll yolları

CORS xətaları tez-tez səhv konfiqurasiya edilmiş server parametrlərindən qaynaqlanır. Ən çox yayılmış səhvlərdən biri də budur Giriş-nəzarət-İcazə ver-mənşə başlıq yoxdur və ya səhv konfiqurasiya edilmişdir. Bu halda, brauzer sorğunu bloklayır və CORS xətası göstərir. Bu cür səhvləri həll etmək üçün server parametrlərini yoxlamaq lazımdır və Giriş-nəzarət-İcazə ver-mənşə Başlığın düzgün konfiqurasiya edilməsini təmin etmək vacibdir. Uçuş öncəsi sorğular kimi tanınan OPTIONS sorğularının düzgün idarə olunmasını təmin etmək də vacibdir.

CORS səhvlərini necə başa düşmək və düzəltmək olar

Cross-Origin Resurs CORS səhvləri veb tərtibatçıları üçün ümumi və vaxt aparan bir problemdir. Bu xətalar veb-səhifə başqa mənbədən (domen, protokol və ya port) resurs tələb etməyə cəhd etdikdə və brauzer təhlükəsizlik səbəbi ilə sorğunu blokladıqda baş verir. CORS səhvlərini başa düşmək və həll etmək müasir veb proqramların düzgün işləməsi üçün çox vacibdir.

CORS səhvlərinin diaqnostikası problemin mənbəyini müəyyən etmək üçün ilk addımdır. Brauzer tərtibatçısı alətlərində (adətən Konsol tabında) səhv mesajlarının araşdırılması hansı resursun və niyə bloklandığını anlamağa kömək edə bilər. Səhv mesajları tez-tez problemi həll etmək üçün ipuçlarını ehtiva edir. Məsələn, "Tələb olunan resursda "Access-Control-Allow-Origin" başlığı yoxdur" kimi bir mesaj serverdə çatışmayan CORS başlığını göstərir.

Səhv kodu	İzahat	Mümkün həllər
403 qadağandır	Server sorğunu başa düşdü, lakin rədd etdi.	Server tərəfində CORS konfiqurasiyasını yoxlayın. İcazə verilən resursları düzgün konfiqurasiya edin.
500 Daxili Server Xətası	Serverdə gözlənilməz xəta baş verdi.	Server qeydlərini nəzərdən keçirin və xətanın mənbəyini müəyyənləşdirin. CORS konfiqurasiyası ilə bağlı problem ola bilər.
CORS Xətası (Brauzer Konsolu)	CORS siyasəti pozulduğu üçün brauzer sorğunu blokladı.	Server tərəfində 'Access-Control-Allow-Origin' başlığını düzgün qurun.
ERR_CORS_REQUEST_NOT_HTTP	CORS sorğuları HTTP və ya HTTPS protokolları üzərindən edilmir.	Sorğunun düzgün protokol üzərindən edildiyinə əmin olun.

CORS səhvlərini həll etmək üçün bir neçə üsul var. Ən ümumi üsul server tərəfində lazımi CORS başlıqlarını əlavə etməkdir. 'Giriş-nəzarət-İcazə-Mənşə' Başlıq hansı resursların serverə daxil olmasına icazə verildiyini müəyyən edir. Bu başlığı '*' olaraq təyin etmək bütün resurslara icazə vermək deməkdir, lakin təhlükəsizlik səbəbi ilə bu yanaşma ümumiyyətlə tövsiyə edilmir. Bunun əvəzinə yalnız müəyyən resurslara icazə vermək daha təhlükəsizdir. Məsələn, "Access-Control-Allow-Origin: https://example.com" yalnız "https://example.com" ünvanından sorğulara icazə verəcək.

CORS səhvlərinin qarşısının alınması və aradan qaldırılması üçün bəzi digər əsas məqamlar bunlardır:

Səhvlərin növləri
• 'Access-Control-Allow-Origin' başlığı yoxdur və ya səhv konfiqurasiya edilib: Server tərəfində düzgün başlıqları təyin etməmək.
• Uçuşdan əvvəl problemlər: 'OPTIONS' sorğusu server tərəfindən düzgün idarə edilmədi.
• Etibarnamə ilə bağlı problemlər: Kukilər və ya autentifikasiya məlumatları düzgün göndərilmir.
• Resurslararası marşrutlaşdırma problemləri: CORS siyasətlərinə uyğun olmayan yönləndirmələr.
• Proksi server problemləri: Proksi serverlər CORS başlıqlarını düzgün yönləndirmir.
• HTTPS protokol tələbi: Təhlükəsiz HTTP bağlantıları üzərindən edilən sorğuların bloklanması.

Server tərəfindəki dəyişikliklərə əlavə olaraq, CORS səhvlərini həll etmək üçün bəzi müştəri tərəfində düzəlişlər edilə bilər. Məsələn, proksi serverdən istifadə edərək sorğuları yönləndirmək və ya JSONP kimi alternativ məlumat mübadiləsi üsullarından istifadə etmək mümkün ola bilər. Bununla belə, bu üsulların təhlükəsizlik zəifliyi yarada biləcəyini xatırlamaq vacibdir. Buna görə də, ən yaxşı həll Bu adətən server tərəfində düzgün CORS konfiqurasiyasını təmin etmək məsələsidir.

CORS Ən Yaxşı Təcrübələri

Cross-Origin Resurs CORS-u düzgün konfiqurasiya etmək veb tətbiqlərinizin təhlükəsizliyini və funksionallığını təmin etmək üçün vacibdir. Yanlış konfiqurasiya edilmiş CORS siyasəti təhlükəsizlik zəifliyinə səbəb ola bilər və icazəsiz girişə icazə verə bilər. Buna görə də, CORS tətbiq edərkən diqqətli olmaq və ən yaxşı təcrübələrə riayət etmək vacibdir.

Ən yaxşı təcrübə	İzahat	Əhəmiyyət
İcazə verilən mənşəyi məhdudlaşdırın	Giriş-nəzarət-İcazə ver-mənşə Başlıqda yalnız etibarlı domenləri göstərin. * İstifadədən çəkinin.	Təhlükəsizliyi artırır və icazəsiz girişin qarşısını alır.
Lazım olduqda şəxsiyyət məlumatlarından istifadə edin	Kukilər və ya icazə başlıqları kimi şəxsiyyəti müəyyən edən məlumatları göndərmək üçün Giriş-nəzarət-İcazə verin-etimadnamələr: doğrudur istifadə edin.	Doğrulama tələb edən resurslara girişi təmin edir.
Uçuşdan əvvəl sorğuları düzgün idarə edin	OPSİYONLAR sorğuları düzgün şəkildə emal edin və tələb olunan başlıqları daxil edin (Giriş-nəzarət-icazə vermək-metodları, Giriş-nəzarət-İcazə ver-başlıqlar) təmin edir.	Mürəkkəb sorğular (məs. İDOL, SİLİN) təhlükəsiz şəkildə həyata keçirilməsini təmin edir.
Səhv mesajlarını diqqətlə idarə edin	CORS səhvlərini istifadəçiyə mənalı şəkildə bildirin və potensial təhlükəsizlik zəifliklərini üzə çıxarmaqdan çəkinin.	Bu istifadəçi təcrübəsini yaxşılaşdırır və təhlükəsizlik risklərini azaldır.

Təhlükəsizliyinizi artırmaq üçün, Giriş-nəzarət-İcazə ver-mənşə Başlıqda joker işarələrdən (*) istifadə etməyin. Bu, istənilən domenin resurslarınıza daxil olmasına imkan verir və potensial olaraq zərərli saytlara məlumatlarınızı oğurlamağa və ya manipulyasiya etməyə imkan verir. Bunun əvəzinə yalnız etibar etdiyiniz və giriş icazəsi vermək istədiyiniz xüsusi domenləri sadalayın.

Tətbiq addımları
1. Ehtiyaclarınızı Müəyyən edin: Resurslarınıza hansı domenlərin daxil olması lazım olduğunu aydınlaşdırın.
2. Giriş-nəzarət-İcazə ver-mənşə Başlığı konfiqurasiya edin: Server tərəfində yalnız icazə verilən domenləri sadalayın.
3. Etibarnamələri idarə edin: kukilər və ya icazə başlıqları tələb olunarsa, Giriş-nəzarət-İcazə verin-etimadnamələr Başlığı düzgün təyin edin.
4. Uçuşdan əvvəl sorğuları emal edin: OPSİYONLAR istəklərinə lazımi cavab vermək.
5. Səhv İdarəetmə Mexanizmi yaradın: CORS səhvlərini istifadəçiyə təsviri şəkildə bildirin.
6. Test və Monitor: Mütəmadi olaraq CORS konfiqurasiyanızı sınayın və potensial zəifliklərə nəzarət edin.

Bundan əlavə, uçuşdan əvvəl sorğular Onu düzgün idarə etmək də vacibdir. Brauzerlər bəzi mürəkkəb sorğuları (məsələn, İDOL və ya SİLİN və s.) göndərməzdən əvvəl serverə OPSİYONLAR sorğu göndərir. Serveriniz bu sorğuya düzgün cavab verməlidir və Giriş-nəzarət-icazə vermək-metodları Və Giriş-nəzarət-İcazə ver-başlıqlar başlıqlar. Bu, brauzerə faktiki sorğu göndərməyə imkan verir.

CORS konfiqurasiyanızı mütəmadi olaraq test etmək və nəzarət etmək vacibdir. Gözlənilməz davranışı və ya potensial zəiflikləri müəyyən etmək üçün müxtəlif ssenariləri sınayın. Siz həmçinin server qeydlərinizi izləməklə icazəsiz giriş cəhdlərini müəyyən edə bilərsiniz. Unutmayın ki, təhlükəsiz veb tətbiqinin yaradılması davamlı bir prosesdir və müntəzəm yeniləmələr və təkmilləşdirmələr tələb edir. Cross-Origin Resurs Paylaşımlarınızı bu ən yaxşı təcrübələrlə konfiqurasiya etməklə siz veb tətbiqlərinizin təhlükəsizliyini əhəmiyyətli dərəcədə artıra bilərsiniz.

CORS istifadə edərkən nəzərə alınmalı olanlar

Cross-Origin Resurs CORS istifadə edərkən, tətbiqinizin təhlükəsizliyini və düzgün işləməsini təmin etmək üçün bir neçə vacib mülahizə var. CORS veb proqramlarına müxtəlif mənbələrdən məlumat mübadiləsi etməyə imkan verən bir mexanizmdir, lakin səhv konfiqurasiya edildikdə, ciddi təhlükəsizlik zəifliyinə səbəb ola bilər. Buna görə də, CORS siyasətlərini diqqətlə konfiqurasiya etmək və potensial problemlərin qarşısını almaq üçün xüsusi addımları izləmək vacibdir.

CORS konfiqurasiyasındakı səhvlər həssas məlumatların icazəsiz girişə məruz qalmasına və ya zərərli hücumların həyata keçirilməsinə imkan verə bilər. Məsələn, Giriş-nəzarət-İcazə ver-mənşə CORS başlığının yanlış konfiqurasiyası bütün mənbələrdən sorğulara icazə verilməsi ilə nəticələnə bilər. Bu, yalnız xüsusi mənbələrdən gələn sorğulara icazə verildikdə ciddi təhlükəsizlik riski yaradır. Aşağıdakı cədvəl CORS konfiqurasiyasında ümumi səhvləri və onların potensial nəticələrini ümumiləşdirir.

Səhv	İzahat	Nəticə
Giriş-nəzarət-İcazə ver-mənşə: * istifadə edin	Bütün mənbələrdən gələn sorğulara icazə verilir.	Zəiflik ondan ibarətdir ki, zərərli saytlar məlumatlara daxil ola bilər.
Giriş-nəzarət-İcazə verin-etimadnamələr: doğrudur ilə Giriş-nəzarət-İcazə ver-mənşə: * istifadə edin	Bütün resurslara etimadnamələrin göndərilməsinə icazə verilir (brauzerlər tərəfindən bloklanır).	Gözlənilməz davranış, yanlış autentifikasiya.
Yanlış HTTP üsullarına icazə verilir	GET və ya POST kimi yalnız müəyyən üsullara icazə verilərkən bütün üsullara icazə verilir.	Potensial zəifliklər, məlumatların manipulyasiyası.
Lazımsız başlıqları qəbul etmək	Bütün başlıqlar qəbul edilərkən, yalnız zəruri başlıqlar qəbul edilməlidir.	Təhlükəsizlik zəiflikləri, lazımsız məlumat ötürülməsi.

CORS istifadə edərkən nəzərə alınmalı olan digər vacib məqam uçuşdan əvvəl sorğu mexanizminin düzgün konfiqurasiyasıdır. Əvvəlcədən uçuş sorğuları brauzerlərin faktiki sorğunu serverə göndərməzdən əvvəl serverin CORS siyasətlərini yoxlamaq üçün göndərdiyi OPTIONS sorğularıdır. Əgər server bu sorğulara düzgün cavab vermirsə, faktiki sorğu bloklanır. Buna görə də, serverinizin OPTIONS sorğularına düzgün cavab verdiyinə əmin olmalısınız.

Nəzərə alınmalı olan məqamlar

• Giriş-nəzarət-İcazə ver-mənşə Başlığı düzgün konfiqurasiya edin. Yalnız etibarlı mənbələrə icazə verin.
• Giriş-nəzarət-İcazə verin-etimadnamələr Başlıqdan istifadə edərkən diqqətli olun. Lazım olmadıqca istifadə etməkdən çəkinin.
• Uçuşdan əvvəl sorğu mexanizmini düzgün konfiqurasiya edin. OPTIONS sorğularına düzgün cavablar verin.
• Yalnız zəruri HTTP metodlarına və başlıqlarına icazə verin. Lazımsızları bloklayın.
• CORS konfiqurasiyanızı mütəmadi olaraq yeniləyin və zəifliklər üçün sınaqdan keçirin.
• Sazlama alətlərindən istifadə edərək CORS səhvlərini aşkar edin və düzəldin.

CORS səhvlərini aradan qaldırmaq üçün brauzer tərtibatçı alətlərindən istifadə olduqca faydalıdır. Bu alətlər CORS ilə əlaqəli səhvləri və xəbərdarlıqları göstərməklə problemin mənbəyini müəyyənləşdirməyə kömək edə bilər. CORS siyasətlərinizin düzgün həyata keçirildiyinə əmin olmaq üçün server tərəfi qeydlərini də yoxlaya bilərsiniz. Unutmayın ki, düzgün konfiqurasiya edilmiş CORS siyasəti veb tətbiqinizin təhlükəsizliyini gücləndirməyin və istifadəçi təcrübəsini təkmilləşdirməyin vacib hissəsidir.

Tez-tez verilən suallar

CORS niyə vacibdir və veb inkişaf prosesinə necə təsir edir?

CORS, zərərli mənbələrin həssas məlumatlara daxil olmasının qarşısını alaraq veb-sayt təhlükəsizliyini artırır. Bu, istifadəçi məlumatlarını və tətbiqin bütövlüyünü qorumağa kömək edir. Veb inkişafında, müxtəlif domenlər arasında idarə olunan resurs mübadiləsini təmin etməklə təhlükəsiz və sabit təcrübə təmin edir. Bu mexanizmin başa düşülməsi developerlər üçün potensial təhlükəsizlik zəifliklərini aradan qaldırmaq və proqramların düzgün inkişafını təmin etmək üçün çox vacibdir.

Brauzerlər CORS siyasətlərini necə həyata keçirir və bu prosesdə hansı HTTP başlıqlarından istifadə olunur?

Veb səhifə başqa bir domendən resurs tələb etdikdə brauzerlər avtomatik olaraq CORS yoxlamalarını həyata keçirir. Bu prosesdə brauzer serverə “Origin” başlığını göndərir. Server "Access-Control-Allow-Origin" başlığı ilə cavab verir. Brauzer bu başlıqların dəyərlərini müqayisə edərək sorğunun təhlükəsiz olub-olmadığını müəyyən edir. Əlavə olaraq, tələb olunan metodları, başlıqları və etimadnamələri müəyyən etmək üçün 'Giriş-nəzarət-İcazə verin-Metodlar', 'Giriş-nəzarət-İcazə ver-başlıqlar' və 'Giriş-nəzarət-İcazə verin-etimadnamələr' kimi başlıqlar istifadə olunur. Bu başlıqların düzgün konfiqurasiyası CORS problemlərinin qarşısını almaq üçün çox vacibdir.

CORS səhvlərinin ən çox görülən səbəbləri hansılardır və onları necə aşkarlaya bilərəm?

CORS xətalarının ən çox yayılmış səbəbləri arasında serverin 'Giriş-nəzarət-İcazə ver-Mənşə' başlığının səhv konfiqurasiyası, müxtəlif port və ya protokollardan gələn sorğular, uçuşdan əvvəl sorğu xətaları və etimadnamənin yanlış işlənməsi daxildir. Bu səhvləri müəyyən etmək üçün brauzerin tərtibatçı alətlərindən istifadə edə bilərsiniz. Konsol nişanında göstərilən xəta mesajları adətən CORS probleminin mənbəyini göstərir. Siz həmçinin Şəbəkə nişanında HTTP başlıqlarını araşdıraraq serverin CORS ilə əlaqəli cavablarını yoxlaya bilərsiniz.

"Uçuşdan əvvəl sorğu" nədir və o, nə vaxt işə salınır?

Uçuşdan əvvəl sorğu, brauzerin faktiki sorğunu göndərməzdən əvvəl hansı HTTP metodlarından və başlıqlarından istifadə edəcəyini soruşmaq üçün serverə göndərdiyi OPTIONS sorğusudur. Bu sorğu xüsusi olaraq GET və POST-dan başqa HTTP metodlarından (məsələn, PUT, DELETE və s.) istifadə edildikdə və ya fərdi başlıqlar əlavə edildikdə işə salınır. Server bu uçuş öncəsi sorğuya düzgün CORS cavabı təqdim etməlidir, əks halda faktiki sorğu bloklanacaq.

CORS-i söndürmək və ya yan keçmək mümkündürmü və potensial risklər nələrdir?

CORS brauzer tərəfində həyata keçirilən təhlükəsizlik mexanizmidir. Server tərəfində CORS başlıqlarını konfiqurasiya etməklə siz hansı resurslara daxil olmağa icazə verildiyini idarə edirsiniz. CORS-u tamamilə söndürmək ümumiyyətlə tövsiyə edilmir, çünki bu, veb saytınızı müxtəlif təhlükəsizlik zəifliklərinə qarşı həssas edə bilər. Bununla belə, inkişaf zamanı və ya müəyyən sınaq ssenarilərində CORS müvəqqəti olaraq brauzer plaginləri və ya proxy serverləri vasitəsilə keçə bilər. Bu həll yollarını istehsal mühitində istifadə etməmək vacibdir.

CORS ilə bağlı zəifliklər hansılardır və onların qarşısını almaq üçün hansı tədbirləri görməliyik?

Ən çox yayılmış CORS zəifliklərinə 'Access-Control-Allow-Origin' başlığının '*' (hər kəsə giriş icazəsi) təyin edilməsi və zərərli saytların etimadnamələrə daxil olmasına icazə verilməsi daxildir. Bu zəifliklərin qarşısını almaq üçün siz 'Giriş-nəzarət-İcazə verin-Mənşə' başlığını yalnız icazə verilən domenlərlə məhdudlaşdırmalı, 'Giriş-nəzarət-İcazə ver-Etibarnamə' başlığından ehtiyatla istifadə etməli və əlavə server tərəfi təhlükəsizlik tədbirlərini həyata keçirməlisiniz (məsələn, CSRF mühafizəsi).

Server tərəfində CORS konfiqurasiyası üçün hansı yanaşmalar mövcuddur və mən ən uyğun yanaşmanı necə seçə bilərəm?

Server tərəfində CORS konfiqurasiyasına müxtəlif yanaşmalar mövcuddur. Bunlara HTTP başlıqlarını əl ilə təyin etmək, CORS ara proqramından istifadə etmək və ya veb serveri konfiqurasiya etmək (məsələn, Nginx və ya Apache) daxildir. Ən uyğun yanaşma tətbiqinizin ehtiyaclarından, istifadə etdiyiniz texnologiyadan və server infrastrukturunuzdan asılıdır. Ara proqram təminatından istifadə adətən daha çevik və idarə oluna bilən həll təmin etsə də, sadə proqramlar üçün əl ilə başlıq parametrləri kifayət edə bilər.

CORS parametrlərini müxtəlif mühitlərdə (dev, test, istehsal) necə idarə etməliyəm?

Siz müxtəlif mühitlərdə CORS parametrlərini idarə etmək üçün mühit dəyişənlərindən və ya konfiqurasiya fayllarından istifadə edə bilərsiniz. İnkişaf mühitində CORS xətalarını azaltmaq üçün daha sərbəst parametrlərdən (məsələn, 'Access-Control-Allow-Origin: *') istifadə edə bilərsiniz, lakin siz heç vaxt bu parametrləri istehsal mühitində istifadə etməməlisiniz. Test mühitində istehsal mühitini təqlid edən daha sərt CORS parametrlərindən istifadə etməlisiniz. İstehsal mühitində 'Giriş-nəzarət-İcazə ver-Mənşə' başlığını yalnız icazə verilən domenlərlə məhdudlaşdırmaqla ən təhlükəsiz konfiqurasiyadan istifadə etməlisiniz. Buna hər bir mühit üçün ayrıca konfiqurasiya faylları yaratmaqla və ya mühit dəyişənlərindən istifadə etməklə nail olmaq olar.

Ətraflı məlumat: CORS haqqında ətraflı məlumat əldə edin