Гэты пост у блогу прысвечаны праблемам міжкрыжовага сумеснага выкарыстання рэсурсаў (CORS), з якімі часта сутыкаюцца вэб-распрацоўшчыкі. Спачатку тлумачыцца, што такое CORS, яго асноўныя прынцыпы і чаму ён важны. Затым падрабязна разглядаецца, як узнікаюць памылкі CORS і як іх вырашаць. Таксама вылучаюцца перадавыя практыкі і ключавыя меркаванні для бяспечнай і эфектыўнай рэалізацыі CORS. Гэта кіраўніцтва мае на мэце дапамагчы вам зразумець і вырашыць праблемы, звязаныя з CORS, у вашых вэб-прыкладаннях.

Што такое CORS? Асноўная інфармацыя і яе значэнне

Сумеснае выкарыстанне рэсурсаў розных паходжанняў (CORS)Механізм бяспекі, які дазваляе вэб-браўзерам дазваляць вэб-старонцы атрымліваць доступ да рэсурсаў з іншага дамена. Па сутнасці, ён рэгулюе доступ вэб-праграмы да рэсурсаў (напрыклад, API, шрыфтоў, малюнкаў) па-за межамі ўласнага дамена. Па змаўчанні браўзеры блакуюць запыты з аднаго дамена ў іншы з-за палітыкі «самога паходжання». CORS прапануе спосаб бяспечнага абыходу гэтага абмежавання.

Важнасць CORS вынікае са складанасці сучасных вэб-прыкладанняў і неабходнасці атрымання дадзеных з некалькіх крыніц. Многія вэб-прыкладанні абапіраюцца на API, CDN або іншыя знешнія крыніцы, размешчаныя на розных серверах. Без CORS доступ да гэтых рэсурсаў быў бы немагчымы, што значна абмяжоўвала б функцыянальнасць вэб-прыкладанняў. CORSГэта дае распрацоўшчыкам магчымасць атрымліваць дадзеныя з розных крыніц, захоўваючы пры гэтым бяспеку сваіх вэб-прыкладанняў.

У табліцы ніжэй, CORSАсноўныя паняцці і прынцыпы працы коратка апісаны:

Канцэпцыя	Тлумачэнне	Важнасць
Палітыка аднаго паходжання	Гэта не дазваляе браўзерам атрымліваць доступ да рэсурсаў з іншай крыніцы праз скрыпты, загружаныя з адной крыніцы.	Гэта забяспечвае бяспеку і прадухіляе доступ шкоднасных скрыптоў да канфідэнцыйных дадзеных.
Запыт з іншага паходжання	HTTP-запыт, зроблены на дамен, які адрозніваецца ад дамена вэб-старонкі.	Гэта дазваляе сучасным вэб-праграмам атрымліваць доступ да розных API і рэсурсаў.
CORS Тытулы (CORS Загалоўкі)	Спецыяльныя загалоўкі, якія сервер дадае да загалоўкаў адказу, каб дазволіць запыты з іншага паходжання.	Ён паведамляе браўзеру, якія дамены могуць атрымліваць доступ да рэсурсаў.
Запыт перад палётам	Запыт, які браўзер адпраўляе на сервер праз метад OPTIONS перад тым, як рабіць складаныя запыты з іншага паходжання.	Гэта дазваляе серверу праверыць, ці прымаць запыт ці не.

CORSАсноўная праца заснавана на тым, што вэб-сервер паведамляе браўзеру, да якіх рэсурсаў ён дазваляе доступ, праз загалоўкі адказу HTTP. Сервер паказвае, якія дамены могуць атрымліваць доступ да яго рэсурсаў, з дапамогай загалоўка Access-Control-Allow-Origin. Калі запытны дамен уключаны ў гэты загаловак або калі пазначаны * (усе), браўзер прымае запыт. У адваротным выпадку браўзер блакуе запыт і адпраўляе CORS узнікае памылка.

Асноўныя элементы CORS
• Паходжанне доступу-кантролю-дазволу: Вызначае, якія дамены могуць атрымаць доступ да рэсурсу.
• Метады дазволу доступу: Вызначае, якія метады HTTP (GET, POST, PUT, DELETE і г.д.) можна выкарыстоўваць.
• Загалоўкі дазволаў для кіравання доступам: Вызначае любыя спецыяльныя загалоўкі, якія можна ўключыць у запыт.
• Уліковыя дадзеныя кантролю доступу: Вызначае, ці можна ўключаць ідэнтыфікацыйную інфармацыю (файлы cookie, загалоўкі аўтарызацыі).
• Кантроль доступу - максімальны ўзрост: Вызначае, як доўга вынікі запыту пераддрукарскай апрацоўкі могуць захоўвацца ў кэшы.

CORS Памылкі часта выклікаюцца няправільнай канфігурацыяй на баку сервера. Распрацоўшчыкам важна правільна наладзіць свае серверы, каб дазволіць доступ да рэсурсаў толькі давераным даменам. Акрамя таго, CORS Выкананне найлепшых практык дапамагае мінімізаваць уразлівасці бяспекі.

CORSГэта неад'емная частка сучасных вэб-прыкладанняў, якая забяспечвае гнуткасць атрымання дадзеных з розных крыніц, захоўваючы пры гэтым бяспеку. Пры правільнай наладзе яна пашырае функцыянальнасць вэб-прыкладанняў і паляпшае карыстальніцкі досвед.

Прынцып працы сумеснага выкарыстання рэсурсаў розных паходжання

Рэсурс з розных крыніц CORS — гэта механізм, які дазваляе вэб-браўзерам дазваляць вэб-старонкам з адной крыніцы атрымліваць доступ да рэсурсаў з іншай крыніцы. Браўзеры звычайна рэалізуюць палітыку "самога паходжання", што азначае, што вэб-старонка можа атрымліваць доступ толькі да рэсурсаў з крыніцы з аднолькавым пратаколам, хостам і портам. CORS быў распрацаваны для пераадолення гэтага абмежавання і забеспячэння бяспечнага абмену дадзенымі паміж рознымі крыніцамі.

Асноўная мэта CORS — абарона вэб-праграм. Прынцып аднаго паходжання не дазваляе шкоднасным вэб-сайтам атрымліваць доступ да канфідэнцыйных дадзеных карыстальнікаў. Аднак у некаторых выпадках неабходны абмен дадзенымі паміж рознымі крыніцамі. Напрыклад, вэб-праграме можа спатрэбіцца доступ да API на іншым серверы. CORS прапануе бяспечнае рашэнне для такіх сцэнарыяў.

Плошча	Тлумачэнне	Прыклад
Паходжанне	Адрас рэсурсу, які ініцыяваў запыт.	http://example.com
Кантроль доступу-Дазволіць-Паходжанне	Вызначае, якія рэсурсы дазваляе сервер.	http://example.com, *
Метад запыту кантролю доступу	Вызначае, які метад HTTP хоча выкарыстоўваць кліент.	АДПРАВІЦЬ, АТРЫМАЦЬ
Метады дазволу доступу	Вызначае, якія метады HTTP дазваляе сервер.	АПУБЛІКАВАЦЬ, АТРЫМАЦЬ, ВАРЫЯНТЫ

CORS працуе праз серыю HTTP-загалоўкаў паміж кліентам (браўзерам) і серверам. Калі кліент робіць запыт паміж крыніцамі, браўзер аўтаматычна дадае да яго запыт загаловак Origin. Сервер аналізуе гэты загаловак, каб вырашыць, ці дазволіць запыт. Калі сервер дазваляе запыт, ён адказвае загалоўкам Access-Control-Allow-Origin. Гэты загаловак паказвае, якія рэсурсы могуць атрымаць доступ да запыту.

Працэс CORS
1. Браўзер запытвае рэсурсы з іншай крыніцы.
2. Браўзер дадае загаловак Origin да запыту.
3. Сервер ацэньвае загаловак Origin.
4. Сервер адказвае загалоўкам Access-Control-Allow-Origin.
5. Браўзер правярае адказ і дазваляе або блакуе запыт.

Разуменне таго, як працуе CORS, мае вырашальнае значэнне для вэб-распрацоўшчыкаў. Няправільна настроеныя параметры CORS могуць прывесці да ўразлівасцей бяспекі ў вэб-прыкладаннях. Таму разуменне таго, як працуе CORS і як яго правільна наладзіць, мае важнае значэнне для распрацоўкі бяспечных і эфектыўных вэб-прыкладанняў.

Працэсы прадастаўлення дазволаў

У CORS працэсы дазволаў выкарыстоўваюцца для вызначэння рэсурсаў, да якіх сервер мае доступ. Сервер, Кантроль доступу-Дазволіць-Паходжанне Вы можаце дазволіць пэўныя рэсурсы праз загаловак або дазволіць усе рэсурсы * можна выкарыстоўваць сімвал. Аднак, * Выкарыстанне сімвала можа ствараць рызыкі для бяспекі, таму варта быць асцярожным. Гэта больш бяспечны падыход — даваць дазволы на доступ да пэўных рэсурсаў, асабліва калі гаворка ідзе пра канфідэнцыйныя дадзеныя.

Памылкі і рашэнні

Памылкі CORS часта выклікаюцца няправільна настроенымі параметрамі сервера. Адной з найбольш распаўсюджаных памылак з'яўляецца Кантроль доступу-Дазволіць-Паходжанне загаловак адсутнічае або няправільна настроены. У гэтым выпадку браўзер блакуе запыт і адлюстроўвае памылку CORS. Каб выправіць такія памылкі, неабходна праверыць налады сервера і Кантроль доступу-Дазволіць-Паходжанне Важна пераканацца, што загаловак настроены правільна. Таксама важна пераканацца, што запыты OPTIONS, таксама вядомыя як запыты пераддрукарскай падрыхтоўкі, апрацоўваюцца правільна.

Як зразумець і выправіць памылкі CORS

Рэсурс з розных крыніц Памылкі CORS — распаўсюджаная і працаёмкая праблема для вэб-распрацоўшчыкаў. Гэтыя памылкі ўзнікаюць, калі вэб-старонка спрабуе запытаць рэсурс з іншай крыніцы (дамена, пратакола або порта), а браўзер блакуе запыт з меркаванняў бяспекі. Разуменне і вырашэнне памылак CORS мае вырашальнае значэнне для бесперабойнай працы сучасных вэб-прыкладанняў.

Дыягностыка памылак CORS — першы крок да вызначэння крыніцы праблемы. Вывучэнне паведамленняў пра памылкі ў інструментах распрацоўшчыка браўзера (звычайна на ўкладцы «Кансоль») можа дапамагчы вам зразумець, які рэсурс блакуецца і чаму. Паведамленні пра памылкі часта ўтрымліваюць падказкі для вырашэння праблемы. Напрыклад, паведамленне накшталт «На запытаным рэсурсе няма загалоўка 'Access-Control-Allow-Origin'» паказвае на адсутнасць загалоўка CORS на серверы.

Код памылкі	Тлумачэнне	Магчымыя рашэнні
403 Забаронена	Сервер зразумеў запыт, але адхіліў яго.	Праверце канфігурацыю CORS на баку сервера. Правільна наладзьце дазволеныя рэсурсы.
500 Унутраная памылка сервера	На серверы адбылася нечаканая памылка.	Праглядзіце журналы сервера і вызначце крыніцу памылкі. Магчыма, праблема ў канфігурацыі CORS.
Памылка CORS (кансоль браўзера)	Браўзер заблакаваў запыт, бо была парушана палітыка CORS.	Правільна ўсталюйце загаловак «Access-Control-Allow-Origin» на баку сервера.
ERR_CORS_REQUEST_NOT_HTTP	Запыты CORS не выконваюцца па пратаколах HTTP або HTTPS.	Пераканайцеся, што запыт зроблены па правільным пратаколе.

Існуе некалькі метадаў вырашэння памылак CORS. Найбольш распаўсюджаны метад — дадаць неабходныя загалоўкі CORS на баку сервера. «Кантроль доступу-Дазвол-Паходжанне» Загаловак паказвае, якім рэсурсам дазволены доступ да сервера. Устаноўка гэтага загалоўка ў «*» азначае дазвол усіх рэсурсаў, але з меркаванняў бяспекі гэты падыход звычайна не рэкамендуецца. Замест гэтага больш бяспечна дазволіць толькі пэўныя рэсурсы. Напрыклад, «Access-Control-Allow-Origin: https://example.com» дазволіць запыты толькі з «https://example.com».

Вось некаторыя іншыя ключавыя моманты для прадухілення і ліквідацыі памылак CORS:

Тыпы памылак
• Загаловак «Access-Control-Allow-Origin» адсутнічае або няправільна настроены: Не ўстанаўліваюцца правільныя загалоўкі на баку сервера.
• Праблемы перад палётам: Запыт «OPTIONS» не быў правільна апрацаваны серверам.
• Праблемы з паўнамоцтвамі: Файлы cookie або інфармацыя для аўтэнтыфікацыі адпраўляюцца няправільна.
• Праблемы міжрэсурснай маршрутызацыі: Перанакіравання не адпавядаюць палітыцы CORS.
• Праблемы з проксі-серверам: Проксі-серверы няправільна перасылаюць загалоўкі CORS.
• Патрабаванні пратакола HTTPS: Блакіроўка запытаў, зробленых праз неабароненыя HTTP-злучэнні.

Акрамя змяненняў на баку сервера, для вырашэння памылак CORS можна ўнесці некаторыя карэктывы на баку кліента. Напрыклад, можна перанакіроўваць запыты з дапамогай проксі-сервера або выкарыстоўваць альтэрнатыўныя метады абмену дадзенымі, такія як JSONP. Аднак важна памятаць, што гэтыя метады могуць ствараць уразлівасці бяспекі. Таму, найлепшае рашэнне Звычайна гэта пытанне забеспячэння правільнай канфігурацыі CORS на баку сервера.

Найлепшыя практыкі CORS

Рэсурс з розных крыніц Правільная канфігурацыя CORS мае вырашальнае значэнне для забеспячэння бяспекі і функцыянальнасці вашых вэб-праграм. Няправільна настроеная палітыка CORS можа прывесці да ўразлівасцей бяспекі і дазволіць несанкцыянаваны доступ. Таму важна быць асцярожным і прытрымлівацца рэкамендацый пры ўкараненні CORS.

Лепшая практыка	Тлумачэнне	Важнасць
Абмежаваць дазволеныя паходжанні	Кантроль доступу-Дазволіць-Паходжанне У загалоўку пазначайце толькі давераныя дамены. * Пазбягайце ўжывання.	Павышае бяспеку і прадухіляе несанкцыянаваны доступ.
Выкарыстоўвайце ідэнтыфікацыйную інфармацыю пры неабходнасці	Для адпраўкі асабістай інфармацыі, такой як файлы cookie або загалоўкі аўтарызацыі Уліковыя дадзеныя кантролю доступу: true выкарыстоўваць.	Забяспечвае доступ да рэсурсаў, якія патрабуюць аўтэнтыфікацыі.
Правільна кіруйце запытамі перадпалётнай падрыхтоўкі	ВАРЫЯНТЫ правільна апрацоўваць запыты і ўключаць неабходныя загалоўкі (Метады дазволу доступу, Загалоўкі дазволаў для кантролю доступу) забяспечваць.	Складаныя запыты (напрыклад, ІДОЛ, ВЫДАЛІЦЬ) гарантуе, што гэта будзе зроблена бяспечна.
Асцярожна апрацоўвайце паведамленні пра памылкі	Паведамляйце карыстальніку пра памылкі CORS у змястоўны спосаб і пазбягайце выяўлення патэнцыйных уразлівасцей бяспекі.	Гэта паляпшае карыстальніцкі досвед і зніжае рызыкі бяспекі.

Каб павысіць вашу бяспеку, Кантроль доступу-Дазволіць-Паходжанне Пазбягайце выкарыстання падстаноўных знакаў (*) у назве. Гэта дазваляе любому дамену атрымліваць доступ да вашых рэсурсаў і патэнцыйна дазваляе шкоднасным сайтам красці або маніпуляваць вашымі дадзенымі. Замест гэтага пералічыце толькі пэўныя дамены, якім вы давяраеце і да якіх хочаце дазволіць доступ.

Крокі прымянення
1. Вызначце свае патрэбы: удакладніце, якім даменам патрэбны доступ да вашых рэсурсаў.
2. Кантроль доступу-Дазволіць-Паходжанне Наладзіць загаловак: На баку сервера пералічыце толькі дазволеныя дамены.
3. Кіраванне ўліковымі дадзенымі: калі патрабуюцца файлы cookie або загалоўкі аўтарызацыі, Уліковыя дадзеныя для кантролю доступу Правільна ўсталюйце загаловак.
4. Апрацоўка запытаў перадпалётнай падрыхтоўкі: ВАРЫЯНТЫ належным чынам рэагаваць на іх запыты.
5. Стварыце механізм апрацоўкі памылак: паведамляйце карыстальніку пра памылкі CORS у падрабязным выглядзе.
6. Тэставанне і маніторынг: рэгулярна правярайце канфігурацыю CORS і адсочвайце патэнцыйныя ўразлівасці.

Акрамя таго, запыты перад палётам Важна таксама правільна кіраваць ім. Браўзеры могуць апрацоўваць некаторыя складаныя запыты (напрыклад, ІДОЛ або ВЫДАЛІЦЬ (напрыклад) перад адпраўкай на сервер ВАРЫЯНТЫ адпраўляе запыт. Ваш сервер павінен правільна адказаць на гэты запыт і Метады дазволу доступу І Загалоўкі дазволаў для кантролю доступу загалоўкі. Гэта дазваляе браўзеру адправіць фактычны запыт.

Важна рэгулярна тэставаць і кантраляваць канфігурацыю CORS. Паспрабуйце розныя сцэнарыі, каб выявіць нечаканую паводзіны або патэнцыйныя ўразлівасці. Вы таксама можаце выявіць спробы несанкцыянаванага доступу, кантралюючы журналы сервера. Памятайце, што стварэнне бяспечнага вэб-прыкладання — гэта бесперапынны працэс, які патрабуе рэгулярных абнаўленняў і паляпшэнняў. Рэсурс з розных крыніц Наладзіўшы свае агульныя рэсурсы з улікам гэтых рэкамендацый, вы можаце значна павысіць бяспеку сваіх вэб-прыкладанняў.

Што трэба ўлічваць пры выкарыстанні CORS

Рэсурс з розных крыніц Пры выкарыстанні CORS неабходна ўлічваць некалькі важных меркаванняў для забеспячэння бяспекі і належнай працы вашага прыкладання. CORS — гэта механізм, які дазваляе вэб-прыкладанням абменьвацца дадзенымі з розных крыніц, але няправільная канфігурацыя можа прывесці да сур'ёзных уразлівасцей бяспекі. Таму важна старанна наладзіць палітыкі CORS і выконваць пэўныя дзеянні для прадухілення патэнцыйных праблем.

Памылкі ў канфігурацыі CORS могуць прывесці да несанкцыянаванага доступу да канфідэнцыйных дадзеных або да здзяйснення шкоднасных атак. Напрыклад, Кантроль доступу-Дазволіць-Паходжанне Няправільная канфігурацыя загалоўка CORS можа прывесці да таго, што запыты з усіх крыніц будуць дазволены. Гэта стварае сур'ёзную пагрозу бяспецы, калі павінны быць дазволены толькі запыты з пэўных крыніц. У наступнай табліцы падсумаваны распаўсюджаныя памылкі ў канфігурацыі CORS і іх магчымыя наступствы.

Памылка	Тлумачэнне	Заключэнне
Паходжанне дазволу доступу: * выкарыстанне	Дазвол на запыты з усіх крыніц.	Уразлівасць заключаецца ў тым, што шкоднасныя сайты могуць атрымаць доступ да дадзеных.
Уліковыя дадзеныя кантролю доступу: true з Паходжанне дазволу доступу: * выкарыстанне	Дазволена адпраўляць уліковыя дадзеныя ўсім рэсурсам (блакуецца браўзерамі).	Нечаканая паводзіна, няправільная аўтэнтыфікацыя.
Дазвол няправільных метадаў HTTP	Дазволеныя ўсе метады, у той час як толькі пэўныя метады, такія як GET або POST, павінны быць дазволеныя.	Патэнцыйныя ўразлівасці, маніпуляцыі дадзенымі.
Прыняцце непатрэбных тытулаў	Прымаюцца ўсе тытулы, пры гэтым павінны прымацца толькі неабходныя тытулы.	Уразлівасці бяспекі, непатрэбная перадача дадзеных.

Яшчэ адзін важны момант, які варта ўлічваць пры выкарыстанні CORS, - гэта правільная канфігурацыя механізму перадпралётных запытаў. Перадпралётныя запыты - гэта запыты OPTIONS, якія браўзеры адпраўляюць для праверкі палітыкі CORS сервера перад адпраўкай фактычнага запыту на сервер. Калі сервер няправільна рэагуе на гэтыя запыты, фактычны запыт блакуецца. Такім чынам, вы павінны пераканацца, што ваш сервер правільна рэагуе на запыты OPTIONS.

Ачкі для разгляду

• Кантроль доступу-Дазволіць-Паходжанне Правільна наладзьце загаловак. Дазвольце толькі надзейныя крыніцы.
• Уліковыя дадзеныя для кантролю доступу Будзьце асцярожныя пры выкарыстанні загалоўка. Пазбягайце яго выкарыстання без неабходнасці.
• Правільна наладзьце механізм запытаў перад запускам. Забяспечце правільныя адказы на запыты OPTIONS.
• Дазволіць толькі неабходныя HTTP-метады і загалоўкі. Блакіраваць непатрэбныя.
• Рэгулярна абнаўляйце канфігурацыю CORS і правярайце яе на наяўнасць уразлівасцей.
• Выяўляць і выпраўляць памылкі CORS з дапамогай інструментаў адладкі.

Выкарыстанне інструментаў распрацоўшчыка браўзера для ліквідацыі памылак CORS вельмі карысна. Гэтыя інструменты могуць дапамагчы вам вызначыць крыніцу праблемы, адлюстроўваючы памылкі і папярэджанні, звязаныя з CORS. Вы таксама можаце праверыць журналы на баку сервера, каб пераканацца, што вашы палітыкі CORS рэалізуюцца правільна. Памятайце, што правільна настроеная палітыка CORS з'яўляецца важнай часткай умацавання бяспекі вашага вэб-прыкладання і паляпшэння карыстальніцкага досведу.

Часта задаюць пытанні

Чаму CORS важны і як ён уплывае на працэс вэб-распрацоўкі?

CORS павышае бяспеку вэб-сайта, прадухіляючы доступ шкоднасных крыніц да канфідэнцыйных дадзеных. Гэта дапамагае абараніць інфармацыю карыстальнікаў і цэласнасць праграмы. У вэб-распрацоўцы гэта забяспечвае бяспечны і стабільны вопыт, забяспечваючы кантраляваны абмен рэсурсамі паміж рознымі даменамі. Разуменне гэтага механізму мае вырашальнае значэнне для распрацоўшчыкаў, каб ліквідаваць патэнцыйныя ўразлівасці бяспекі і забяспечыць бесперабойную распрацоўку праграм.

Як браўзеры рэалізуюць палітыкі CORS і якія HTTP-загалоўкі выкарыстоўваюцца ў гэтым працэсе?

Браўзеры аўтаматычна выконваюць праверкі CORS, калі вэб-старонка запытвае рэсурс з іншага дамена. У гэтым працэсе браўзер адпраўляе на сервер загаловак «Origin». Сервер адказвае загалоўкам «Access-Control-Allow-Origin». Браўзер вызначае, ці з'яўляецца запыт бяспечным, параўноўваючы значэнні гэтых загалоўкаў. Акрамя таго, для ўказання запытаных метадаў, загалоўкаў і ўліковых дадзеных выкарыстоўваюцца такія загалоўкі, як «Access-Control-Allow-Methods», «Access-Control-Allow-Headers» і «Access-Control-Allow-Credentials». Правільная канфігурацыя гэтых загалоўкаў мае вырашальнае значэнне для прадухілення праблем з CORS.

Якія найбольш распаўсюджаныя прычыны памылак CORS і як іх выявіць?

Найбольш распаўсюджаныя прычыны памылак CORS ўключаюць няправільную канфігурацыю загалоўка «Access-Control-Allow-Origin» серверам, запыты, якія паходзяць з розных партоў або пратаколаў, памылкі запытаў перад запускам і няправільную апрацоўку ўліковых дадзеных. Вы можаце выкарыстоўваць інструменты распрацоўшчыка браўзера для выяўлення гэтых памылак. Паведамленні пра памылкі, якія адлюстроўваюцца на ўкладцы «Кансоль», звычайна паказваюць крыніцу праблемы CORS. Вы таксама можаце праверыць адказы сервера, звязаныя з CORS, прагледзеўшы загалоўкі HTTP на ўкладцы «Сетка».

Што такое «запыт перад палётам» і калі ён запускаецца?

Папярэдні запыт — гэта запыт OPTIONS, які браўзер адпраўляе серверу, каб спытаць, якія метады HTTP і загалоўкі выкарыстоўваць перад адпраўкай фактычнага запыту. Гэты запыт запускаецца менавіта тады, калі выкарыстоўваюцца метады HTTP, адрозныя ад GET і POST (напрыклад, PUT, DELETE і г.д.), або калі дадаюцца карыстальніцкія загалоўкі. Сервер павінен даць правільны адказ CORS на гэты папярэдні запыт, інакш фактычны запыт будзе заблакіраваны.

Ці можна адключыць або абыйсці CORS і якія патэнцыйныя рызыкі?

CORS — гэта механізм бяспекі, рэалізаваны на баку браўзера. Наладжваючы загалоўкі CORS на баку сервера, вы кантралюеце, да якіх рэсурсаў дазволены доступ. Поўнае адключэнне CORS звычайна не рэкамендуецца, бо гэта можа зрабіць ваш вэб-сайт уразлівым да розных уразлівасцей бяспекі. Аднак падчас распрацоўкі або ў пэўных сцэнарыях тэставання CORS можна часова абыйсці з дапамогай убудоў браўзера або проксі-сервераў. Важна не выкарыстоўваць гэтыя абыходныя шляхі ў прадукцыйным асяроддзі.

Якія ўразлівасці звязаны з CORS і якія меры варта прыняць для іх прадухілення?

Да найбольш распаўсюджаных уразлівасцей CORS адносяцца ўстаноўка загалоўка «Access-Control-Allow-Origin» на «*» (дазваляючы доступ усім), што дазваляе шкоднасным сайтам атрымліваць доступ да ўліковых дадзеных. Каб прадухіліць гэтыя ўразлівасці, варта абмежаваць загаловак «Access-Control-Allow-Origin» толькі дазволенымі даменамі, выкарыстоўваць загаловак «Access-Control-Allow-Credentials» з асцярожнасцю і ўкараняць дадатковыя меры бяспекі на баку сервера (напрыклад, абарону CSRF).

Якія падыходы даступныя для канфігурацыі CORS на баку сервера і як выбраць найбольш прыдатны падыход?

Існуюць розныя падыходы да наладжвання CORS на баку сервера. Сярод іх ручная налада HTTP-загалоўкаў, выкарыстанне прамежкавага праграмнага забеспячэння CORS або налада вэб-сервера (напрыклад, Nginx або Apache). Найбольш прыдатны падыход залежыць ад патрэб вашага прыкладання, тэхналогіі, якую вы выкарыстоўваеце, і інфраструктуры вашага сервера. Хоць выкарыстанне прамежкавага праграмнага забеспячэння звычайна забяспечвае больш гнуткае і кіраванае рашэнне, ручной налады загалоўкаў можа быць дастаткова для простых прыкладанняў.

Як мне кіраваць наладамі CORS у розных асяроддзях (распрацоўка, тэставанне, вытворчасць)?

Вы можаце выкарыстоўваць зменныя асяроддзя або файлы канфігурацыі для кіравання наладамі CORS у розных асяроддзях. У асяроддзі распрацоўкі вы можаце выкарыстоўваць больш свабодныя налады (напрыклад, «Access-Control-Allow-Origin: *»), каб паменшыць колькасць памылак CORS, але ніколі не варта выкарыстоўваць гэтыя налады ў вытворчым асяроддзі. У тэставым асяроддзі варта выкарыстоўваць больш строгія налады CORS, якія імітуюць вытворчае асяроддзе. У вытворчым асяроддзі варта выкарыстоўваць найбольш бяспечную канфігурацыю, абмежаваўшы загаловак «Access-Control-Allow-Origin» толькі дазволенымі даменамі. Гэтага можна дасягнуць, стварыўшы асобныя файлы канфігурацыі для кожнага асяроддзя або выкарыстоўваючы зменныя асяроддзя.

Дадатковая інфармацыя: Даведайцеся больш пра CORS