Тази публикация в блога се фокусира върху проблемите, свързани със споделянето на ресурси от различни източници (CORS), с които уеб разработчиците често се сблъскват. Започва с обяснение какво представлява CORS, основните му принципи и защо е важен. След това се разглежда как възникват грешки в CORS и как да се разрешат. Също така се подчертават най-добрите практики и ключовите съображения за сигурно и ефективно внедряване на CORS. Това ръководство има за цел да ви помогне да разберете и разрешите проблеми, свързани с CORS, във вашите уеб приложения.

Какво е CORS? Основна информация и нейното значение

Споделяне на ресурси от различни източници (CORS)Механизъм за сигурност, който позволява на уеб браузърите да разрешат на уеб страница достъп до ресурси от различен домейн. По същество той регулира достъпа на уеб приложението до ресурси (напр. API, шрифтове, изображения) извън собствения му домейн. По подразбиране браузърите блокират заявките от един домейн към друг, поради политиката за същия произход. CORS предлага начин за сигурно заобикаляне на това ограничение.

Значението на CORS произтича от сложността на съвременните уеб приложения и необходимостта от извличане на данни от множество източници. Много уеб приложения разчитат на API, CDN или други външни източници, хоствани на различни сървъри. Без CORS достъпът до тези ресурси би бил невъзможен, което силно ограничава функционалността на уеб приложенията. CORSТова дава на разработчиците гъвкавостта да извличат данни от различни източници, като същевременно запазват сигурността на своите уеб приложения.

В таблицата по-долу CORSОсновните понятия и действие са обобщени:

Концепция	Обяснение	Важност
Политика за същия произход	Това предотвратява достъпа на браузърите до ресурси от различен източник чрез скриптове, заредени от един източник.	Това гарантира сигурност и предотвратява достъпа на злонамерени скриптове до чувствителни данни.
Заявка от друг произход	HTTP заявка, отправена към домейн, различен от домейна на уеб страница.	Това позволява на съвременните уеб приложения да имат достъп до различни API и ресурси.
CORS Заглавия (CORS Заглавки)	Специални заглавки, които сървърът добавя към заглавките на отговора, за да позволи заявки от друг произход.	Той казва на браузъра кои домейни могат да имат достъп до ресурси.
Заявка за предполетна проверка	Заявка, която браузърът изпраща към сървъра чрез метода OPTIONS, преди да направи сложни заявки от различен произход.	Това позволява на сървъра да провери дали да приеме заявката или не.

CORSОсновната работа на се основава на това, че уеб сървърът казва на браузъра до кои ресурси позволява достъп чрез HTTP заглавки на отговор. Сървърът определя кои домейни могат да имат достъп до неговите ресурси чрез заглавката Access-Control-Allow-Origin. Ако заявяващият домейн е включен в тази заглавка или ако е посочен * (everyone - всички), браузърът приема заявката. В противен случай браузърът блокира заявката и изпраща CORS възниква грешка.

Основни елементи на CORS
• Достъп-Контрол-Разрешаване-Произход: Указва кои домейни имат достъп до ресурса.
• Методи за разрешаване на достъп: Указва кои HTTP методи (GET, POST, PUT, DELETE и др.) могат да се използват.
• Заглавки за разрешаване на достъп: Указва всички специални заглавки, които могат да бъдат включени в заявката.
• Достъп-Контрол-Разрешаване-Персонални данни: Указва дали може да се включи идентифицираща информация (бисквитки, заглавки за оторизация).
• Контрол на достъпа - максимална възраст: Указва колко дълго могат да се кешират резултатите от заявка за предварителен преглед.

CORS Грешките често са причинени от неправилна конфигурация от страна на сървъра. Важно е разработчиците да конфигурират правилно сървърите си, за да позволят достъп до ресурси само на доверени домейни. Освен това, CORS Спазването на най-добрите практики помага за минимизиране на уязвимостите в сигурността.

CORSТова е неразделна част от съвременните уеб приложения, осигуряваща гъвкавост за извличане на данни от различни източници, като същевременно се поддържа сигурност. Когато е конфигуриран правилно, той разширява функционалността на уеб приложенията и подобрява потребителското изживяване.

Принцип на работа на споделянето на ресурси от различен произход

Ресурс от различен произход CORS е механизъм, който позволява на уеб браузърите да разрешат на уеб страници от един източник достъп до ресурси от различен източник. Браузърите обикновено прилагат политиката за същия произход, което означава, че уеб страница може да осъществява достъп само до ресурси от източник със същия протокол, хост и порт. CORS е разработен, за да преодолее това ограничение и да позволи сигурно споделяне на данни между различни източници.

Основната цел на CORS е да защити уеб приложенията. Принципът на един и същ произход предотвратява достъпа на злонамерени уебсайтове до чувствителни данни на потребителите. В някои случаи обаче е необходимо споделяне на данни между различни източници. Например, уеб приложение може да се нуждае от достъп до API на различен сървър. CORS предлага сигурно решение за такива сценарии.

Площ	Обяснение	Пример
Произход	Адресът на ресурса, който е инициирал заявката.	http://example.com
Достъп-Контрол-Разрешаване-Произход	Указва кои ресурси сървърът позволява.	http://example.com, *
Метод за заявка за контрол на достъпа	Указва кой HTTP метод иска да използва клиентът.	ПУБЛИКУВАЙ, ПОЛУЧИ
Методи за разрешаване на контрол на достъпа	Указва кои HTTP методи сървърът позволява.	ПУБЛИКУВАНЕ, ПОЛУЧАВАНЕ, ОПЦИИ

CORS работи чрез поредица от HTTP заглавки между клиента (браузъра) и сървъра. Когато клиент направи заявка от друг източник (cross-origin), браузърът автоматично добавя заглавката Origin към заявката. Сървърът разглежда тази заглавка, за да реши дали да разреши заявката. Ако сървърът разреши заявката, той отговаря със заглавка Access-Control-Allow-Origin. Тази заглавка указва кои ресурси могат да имат достъп до заявката.

CORS процес
1. Браузърът изисква ресурси от различен източник.
2. Браузърът добавя заглавката Origin към заявката.
3. Сървърът оценява заглавката Origin.
4. Сървърът отговаря със заглавка Access-Control-Allow-Origin.
5. Браузърът проверява отговора и разрешава или блокира заявката.

Разбирането на това как работи CORS е от решаващо значение за уеб разработчиците. Неправилно конфигурираните настройки на CORS могат да доведат до уязвимости в сигурността на уеб приложенията. Следователно, разбирането на това как работи CORS и как да се конфигурира правилно е от съществено значение за разработването на сигурни и ефективни уеб приложения.

Процеси на предоставяне на разрешения

В CORS процесите на разрешаване се използват, за да се определи до кои ресурси сървърът има право на достъп. Сървърът, Достъп-Контрол-Разрешаване-Произход Можете да разрешите конкретни ресурси чрез заглавката или да разрешите всички ресурси * може да използва символа. Въпреки това, * Използването на символа може да представлява риск за сигурността, така че е необходимо повишено внимание. По-безопасен подход е да се предоставят разрешения за конкретни ресурси, особено когато става въпрос за чувствителни данни.

Грешки и решения

Грешките в CORS често са причинени от неправилно конфигурирани настройки на сървъра. Една от най-често срещаните грешки е Достъп-Контрол-Разрешаване-Произход Заглавката липсва или е неправилно конфигурирана. В този случай браузърът блокира заявката и показва CORS грешка. За да отстраните такива грешки, трябва да проверите настройките на сървъра и Достъп-Контрол-Разрешаване-Произход Важно е да се уверите, че заглавката е конфигурирана правилно. Също така е важно да се уверите, че заявките за OPTIONS, известни още като заявки за предпечатна проверка, се обработват правилно.

Как да разберете и поправите грешки в CORS

Ресурс от различен произход Грешките в CORS са често срещан и отнемащ време проблем за уеб разработчиците. Тези грешки възникват, когато уеб страница се опитва да поиска ресурс от различен източник (домейн, протокол или порт) и браузърът блокира заявката от съображения за сигурност. Разбирането и разрешаването на грешките в CORS е от решаващо значение за безпроблемната работа на съвременните уеб приложения.

Диагностицирането на CORS грешки е първата стъпка в идентифицирането на източника на проблема. Разглеждането на съобщенията за грешки в инструментите за разработчици на браузъра (обикновено в раздела „Конзола“) може да ви помогне да разберете кой ресурс е блокиран и защо. Съобщенията за грешки често съдържат улики за разрешаване на проблема. Например, съобщение като „No 'Access-Control-Allow-Origin' header is present on the requested resource“ показва липсващ CORS header на сървъра.

Код на грешка	Обяснение	Възможни решения
403 Забранено	Сървърът разбра заявката, но я отхвърли.	Проверете конфигурацията на CORS от страна на сървъра. Конфигурирайте правилно разрешените ресурси.
500 вътрешна грешка на сървъра	Възникна неочаквана грешка на сървъра.	Прегледайте лог файловете на сървъра и идентифицирайте източника на грешката. Възможно е да има проблем с конфигурацията на CORS.
Грешка в CORS (конзола на браузъра)	Браузърът блокира заявката, защото беше нарушена политиката на CORS.	Задайте правилно заглавката „Access-Control-Allow-Origin“ от страната на сървъра.
ERR_CORS_REQUEST_NOT_HTTP	Заявките за CORS не се правят по HTTP или HTTPS протоколи.	Уверете се, че заявката е направена по правилния протокол.

Има няколко метода за разрешаване на CORS грешки. Най-разпространеният метод е добавянето на необходимите CORS заглавки от страна на сървъра. „Контрол на достъпа-Разрешаване-Произход“ Заглавката указва кои ресурси имат достъп до сървъра. Задаването на тази заглавка на „*“ означава разрешаване на всички ресурси, но от съображения за сигурност този подход обикновено не се препоръчва. Вместо това е по-сигурно да се разрешат само определени ресурси. Например, „Access-Control-Allow-Origin: https://example.com“ ще разреши само заявки от „https://example.com“.

Ето някои други ключови моменти за предотвратяване и отстраняване на грешки в CORS:

Видове грешки
• Заглавката „Access-Control-Allow-Origin“ липсва или е неправилно конфигурирана: Не са зададени правилните заглавки от страна на сървъра.
• Проблеми с предполетната подготовка: Заявката „OPTIONS“ не беше обработена правилно от сървъра.
• Проблеми с пълномощията: „Бисквитките“ или информацията за удостоверяване не се изпращат правилно.
• Проблеми с маршрутизирането между ресурсите: Пренасочванията не отговарят на правилата на CORS.
• Проблеми с прокси сървъра: Прокси сървърите не препращат правилно CORS заглавките.
• Изискване за HTTPS протокол: Блокиране на заявки, направени през несигурни HTTP връзки.

В допълнение към промените от страна на сървъра, могат да се направят някои корекции от страна на клиента, за да се разрешат грешки в CORS. Например, може да е възможно да се пренасочват заявки с помощта на прокси сървър или да се използват алтернативни методи за обмен на данни, като JSONP. Важно е обаче да се помни, че тези методи могат да създадат уязвимости в сигурността. Следователно, най-доброто решение Обикновено става въпрос за осигуряване на правилна конфигурация на CORS от страна на сървъра.

Най-добри практики на CORS

Ресурс от различен произход Правилното конфигуриране на CORS е от решаващо значение за гарантиране на сигурността и функционалността на вашите уеб приложения. Неправилно конфигурираната политика на CORS може да доведе до уязвимости в сигурността и да позволи неоторизиран достъп. Ето защо е важно да бъдете внимателни и да следвате най-добрите практики при внедряването на CORS.

Най-добра практика	Обяснение	Важност
Ограничаване на разрешените източници	Достъп-Контрол-Разрешаване-Произход Посочете само доверени домейни в заглавката. * Избягвайте употреба.	Повишава сигурността и предотвратява неоторизиран достъп.
Използвайте информация за самоличност, когато е необходимо	За изпращане на лична информация, като например „бисквитки“ или заглавки за оторизация Достъп-Контрол-Разрешаване-Удостоверения: true използване.	Осигурява достъп до ресурси, които изискват удостоверяване.
Правилно управление на заявките за предполетна проверка	ОПЦИИ обработвайте заявките правилно и включете необходимите заглавки (Методи за разрешаване на контрол на достъпа, Заглавки за разрешаване на достъп) предоставят.	Сложни заявки (напр. ИДОЛ, ИЗТРИВАНЕ) гарантира, че това се извършва безопасно.
Внимателно обработвайте съобщенията за грешки	Докладвайте грешките в CORS на потребителя по смислен начин и избягвайте разкриването на потенциални уязвимости в сигурността.	Това подобрява потребителското изживяване и намалява рисковете за сигурността.

За да увеличите сигурността си, Достъп-Контрол-Разрешаване-Произход Избягвайте използването на заместващи символи (*) в заглавието. Това позволява на всеки домейн да има достъп до вашите ресурси и потенциално позволява на злонамерени сайтове да крадат или манипулират вашите данни. Вместо това, избройте само конкретни домейни, на които имате доверие и до които искате да разрешите достъп.

Стъпки за кандидатстване
1. Определете вашите нужди: Изяснете кои домейни се нуждаят от достъп до вашите ресурси.
2. Достъп-Контрол-Разрешаване-Произход Конфигуриране на заглавката: От страна на сървъра, избройте само разрешените домейни.
3. Управление на идентификационни данни: Ако са необходими бисквитки или заглавки за оторизация, Достъп-Контрол-Разрешаване-Персонални данни Задайте правилно заглавието.
4. Обработка на заявки за предпечатна проверка: ОПЦИИ отговарят адекватно на техните искания.
5. Създайте механизъм за обработка на грешки: Докладвайте грешките в CORS на потребителя по описателен начин.
6. Тестване и наблюдение: Редовно тествайте конфигурацията на CORS и я наблюдавайте за потенциални уязвимости.

Освен това заявки за предполетна подготовка Важно е също така да се управлява правилно. Браузърите могат да обработват някои сложни заявки (например, ИДОЛ или ИЗТРИВАНЕ (като например) преди изпращане до сървъра ОПЦИИ изпраща заявката. Вашият сървър трябва да отговори правилно на тази заявка и Методи за разрешаване на контрол на достъпа и Заглавки за разрешаване на достъп заглавки. Това позволява на браузъра да изпрати действителната заявка.

Важно е редовно да тествате и наблюдавате конфигурацията на CORS. Опитайте различни сценарии, за да идентифицирате неочаквано поведение или потенциални уязвимости. Можете също така да идентифицирате опити за неоторизиран достъп, като наблюдавате регистрационните файлове на сървъра си. Не забравяйте, че изграждането на сигурно уеб приложение е непрекъснат процес и изисква редовни актуализации и подобрения. Ресурс от различен произход Чрез конфигуриране на вашите споделени ресурси с тези най-добри практики, можете значително да увеличите сигурността на вашите уеб приложения.

Неща, които трябва да се имат предвид при използване на CORS

Ресурс от различен произход Когато използвате CORS, има няколко важни съображения, за да гарантирате сигурността и правилното функциониране на вашето приложение. CORS е механизъм, който позволява на уеб приложенията да обменят данни от различни източници, но когато е конфигуриран неправилно, това може да доведе до сериозни уязвимости в сигурността. Ето защо е важно внимателно да конфигурирате CORS политиките и да следвате конкретни стъпки, за да предотвратите потенциални проблеми.

Грешки в конфигурацията на CORS могат да доведат до неоторизиран достъп до чувствителни данни или до извършване на злонамерени атаки. Например Достъп-Контрол-Разрешаване-Произход Неправилното конфигуриране на CORS заглавката може да доведе до разрешаване на заявки от всички източници. Това представлява сериозен риск за сигурността, когато трябва да се разрешават само заявки от конкретни източници. Следната таблица обобщава често срещаните грешки при конфигурирането на CORS и техните потенциални последици.

Грешка	Обяснение	Заключение
Произход на разрешение за достъп: * употреба	Разрешаване на заявки от всички източници.	Уязвимостта е, че злонамерени сайтове могат да имат достъп до данни.
Достъп-Контрол-Разрешаване-Удостоверения: true с Произход на разрешение за достъп: * употреба	Разрешаване на изпращане на идентификационни данни до всички ресурси (блокирано от браузърите).	Неочаквано поведение, неправилно удостоверяване.
Разрешаване на грешни HTTP методи	Разрешаване на всички методи, докато само определени методи като GET или POST трябва да бъдат разрешени.	Потенциални уязвимости, манипулиране на данни.
Приемане на ненужни титли	Приемане на всички заглавия, като се приемат само необходимите.	Уязвимости в сигурността, ненужен трансфер на данни.

Друг важен момент, който трябва да се вземе предвид при използване на CORS, е правилната конфигурация на механизма за предварителна проверка на заявките. Предварителните проверки на заявките са OPTIONS заявки, които браузърите изпращат, за да проверят CORS политиките на сървъра, преди да изпратят действителната заявка към сървъра. Ако сървърът не отговори правилно на тези заявки, действителната заявка се блокира. Следователно, трябва да се уверите, че вашият сървър отговаря правилно на OPTIONS заявките.

Точки за разглеждане

• Достъп-Контрол-Разрешаване-Произход Конфигурирайте правилно заглавието. Позволете само надеждни източници.
• Достъп-Контрол-Разрешаване-Персонални данни Бъдете внимателни, когато използвате заглавката. Избягвайте да я използвате, освен ако не е необходимо.
• Конфигурирайте правилно механизма за заявки за предпечатна проверка. Предоставете правилни отговори на заявките за OPTIONS.
• Разрешавайте само необходимите HTTP методи и заглавки. Блокирайте ненужните.
• Редовно актуализирайте конфигурацията на CORS и я тествайте за уязвимости.
• Откриване и отстраняване на грешки в CORS с помощта на инструменти за отстраняване на грешки.

Използването на инструменти за разработчици на браузъри за отстраняване на грешки в CORS е доста полезно. Тези инструменти могат да ви помогнат да определите източника на проблема, като показват грешки и предупреждения, свързани с CORS. Можете също така да проверите регистрационните файлове от страна на сървъра, за да се уверите, че вашите CORS политики се прилагат правилно. Не забравяйте, че правилно конфигурираната CORS политика е ключова част от укрепването на сигурността на вашето уеб приложение и подобряването на потребителското изживяване.

Често задавани въпроси

Защо CORS е важен и как влияе на процеса на уеб разработка?

CORS подобрява сигурността на уебсайта, като предотвратява достъпа на злонамерени източници до чувствителни данни. Това помага за защитата на потребителската информация и целостта на приложението. В уеб разработката той осигурява сигурно и стабилно изживяване, като осигурява контролирано споделяне на ресурси между различни домейни. Разбирането на този механизъм е от решаващо значение за разработчиците, за да се справят с потенциални уязвимости в сигурността и да осигурят безпроблемно разработване на приложения.

Как браузърите имплементират CORS политиките и какви HTTP заглавки се използват в този процес?

Браузърите автоматично извършват CORS проверки, когато уеб страница поиска ресурс от друг домейн. В този процес браузърът изпраща заглавка „Origin“ към сървъра. Сървърът отговаря със заглавка „Access-Control-Allow-Origin“. Браузърът определя дали заявката е защитена, като сравнява стойностите на тези заглавки. Освен това, заглавки като „Access-Control-Allow-Methods“, „Access-Control-Allow-Headers“ и „Access-Control-Allow-Credentials“ се използват за уточняване на заявените методи, заглавки и идентификационни данни. Правилната конфигурация на тези заглавки е от решаващо значение за предотвратяване на проблеми с CORS.

Кои са най-честите причини за грешки в CORS и как мога да ги открия?

Най-честите причини за грешки в CORS включват неправилната конфигурация на сървъра на заглавката „Access-Control-Allow-Origin“, заявки, произхождащи от различни портове или протоколи, грешки в заявките за проверка преди полета и неправилна обработка на идентификационни данни. Можете да използвате инструменти за разработчици на браузъри, за да идентифицирате тези грешки. Съобщенията за грешки, показани в раздела „Конзола“, обикновено показват източника на проблема с CORS. Можете също да проверите отговорите на сървъра, свързани с CORS, като разгледате HTTP заглавките в раздела „Мрежа“.

Какво е „заявка за предварителен преглед“ и кога се задейства?

Заявката за предварителен преглед е заявка с OPTIONS, която браузърът изпраща до сървъра, за да попита кои HTTP методи и заглавки да използва, преди да изпрати действителната заявка. Тази заявка се задейства по-специално, когато се използват HTTP методи, различни от GET и POST (като PUT, DELETE и др.), или когато се добавят персонализирани заглавки. Сървърът трябва да предостави правилен CORS отговор на тази заявка за предварителен преглед, в противен случай действителната заявка ще бъде блокирана.

Възможно ли е да се деактивира или заобиколи CORS и какви са потенциалните рискове?

CORS е механизъм за сигурност, реализиран от страната на браузъра. Чрез конфигуриране на CORS заглавките от страната на сървъра, вие контролирате кои ресурси са разрешени за достъп. Пълното деактивиране на CORS обикновено не се препоръчва, тъй като може да направи уебсайта ви уязвим за различни уязвимости в сигурността. Въпреки това, по време на разработка или в определени сценарии за тестване, CORS може да бъде временно заобиколен чрез плъгини за браузър или прокси сървъри. Важно е да не използвате тези заобиколни решения в производствена среда.

Какви са уязвимостите, свързани с CORS, и какви мерки трябва да предприемем, за да ги предотвратим?

Най-често срещаните уязвимости в CORS включват задаването на заглавката „Access-Control-Allow-Origin“ на „*“ (предоставяне на достъп на всички), което позволява на злонамерени сайтове да имат достъп до идентификационни данни. За да предотвратите тези уязвимости, трябва да ограничите заглавката „Access-Control-Allow-Origin“ само до разрешени домейни, да използвате заглавката „Access-Control-Allow-Credentials“ с повишено внимание и да внедрите допълнителни мерки за сигурност от страна на сървъра (например CSRF защита).

Какви подходи са налични за конфигуриране на CORS от страна на сървъра и как мога да избера най-подходящия подход?

Съществуват различни подходи за конфигуриране на CORS от страна на сървъра. Те включват ръчно задаване на HTTP заглавки, използване на CORS middleware или конфигуриране на уеб сървър (напр. Nginx или Apache). Най-подходящият подход зависи от нуждите на вашето приложение, технологията, която използвате, и вашата сървърна инфраструктура. Въпреки че използването на middleware обикновено предоставя по-гъвкаво и управляемо решение, ръчните настройки на заглавките може да са достатъчни за прости приложения.

Как трябва да управлявам настройките на CORS в различни среди (разработка, тестване, производство)?

Можете да използвате променливи на средата или конфигурационни файлове, за да управлявате настройките на CORS в различни среди. В среда за разработка можете да използвате по-свободни настройки (например „Access-Control-Allow-Origin: *“), за да намалите грешките на CORS, но никога не трябва да използвате тези настройки в производствена среда. В тестова среда трябва да използвате по-строги настройки на CORS, които имитират производствената среда. В производствена среда трябва да използвате най-сигурната конфигурация, като ограничите заглавката „Access-Control-Allow-Origin“ само до разрешени домейни. Това може да се постигне чрез създаване на отделни конфигурационни файлове за всяка среда или чрез използване на променливи на средата.

Повече информация: Научете повече за CORS