Автор: Интернет Хостинг Центр

CORS (Cross Origin Resource Sharing) — инструмент, позволяющий серверам контролировать доступность своих данных для сторонних ресурсов. Он предотвращает несанкционированный доступ и защищает пользователей от атак типа XSS (Cross-Site Scripting). Разбираемся, что такое CORS простыми словами, зачем нужен CORS и как с ним работать, чтобы ваши веб-приложения были комфортными и безопасными для пользователей.

Основы CORS: краткое объяснение для новичков

CORS — технология, позволяющая браузерам направлять HTTP-запросы к ресурсам, находящимся на другом домене, протоколе или порту. По умолчанию любая web-страница может запрашивать данные только с того же домена, на котором она размещена — браузер автоматически блокирует запросы к разным origins (источникам), если сервер явно не разрешает такое взаимодействие. Политика same-origin policy действует как первая линия защиты, но иногда ее необходимо обходить для легитимных целей — современным веб-приложениям часто необходима информация с внешних источников. Простыми словами: если ваш сайт работает на example.com, а API находится на api.another-site.com, то необходимы междоменные запросы (cross-origin requests). Без какой-либо политики безопасности выполнение подобных запросов может привести к возникновению серьёзных уязвимостей — CORS как раз обеспечивает баланс между безопасностью и гибкостью использования внешних ресурсов. Например, если ваш сайт на example.com пытается получить данные с api.another-site.com, браузер проверит, разрешает ли доступ к ним целевой сервер.

Основы CORS: краткое объяснение для новичков
Image by vectorjuice on Freepik.

Как работает механизм CORS на практике

Кратко рассмотрим, как работает CORS. При отправке междоменного запроса браузер добавляет специальный заголовок Origin с адресом страницы, инициировавшей запрос. Сервер проверяет этот заголовок и, если всё нормально, возвращает дополнительный заголовок Access-Control-Allow-Origin с указанным источником или универсальным значением «*», означающим доступность для всех клиентов.

Помимо простого GET-запроса существуют и другие виды запросов, требующие предварительной проверки. Например, POST-запросы с нестандартными MIME-типами файлов или со специфичными методами HTTP приводят к предварительному запросу (OPTIONS), позволяющему убедиться, что сервер разрешает такую операцию. Только после успешного завершения предварительного запроса выполняется основной.

Процесс взаимодействия выглядит следующим образом:

  1. Клиент направляет запрос с указанием своего источника.
  2. Сервер получает его и сопоставляет с политикой безопасности.
  3. Если источник есть среди разрешённых, сервер отправляет необходимые заголовки и данные.
  4. Браузер принимает ответ сервера и обрабатывает его соответствующим образом.

Так обеспечивается защита данных и контроль над источниками, использующими ваши ресурсы.

Отметим, что CORS — это политика на стороне браузера, серверные приложения не подчиняются этим ограничениям. Это значит, что только веб-браузеры используют технологию CORS для обеспечения безопасности пользователей.

Как настроить CORS: серверная и клиентская части

Настройка CORS происходит на стороне сервера. Вот основные заголовки, которые нужно установить:

  • Access-Control-Allow-Origin — откуда принимаются запросы (конкретные домены или универсальный символ «*»);
  • Access-Control-Allow-Methods — перечень поддерживаемых методов HTTP;
  • Access-Control-Allow-Headers — набор разрешённых заголовков.

Всё же из соображений безопасности не рекомендуется проставлять в заголовке Access-Control-Allow-Origin значение «*» для продакшена — при программировании лучше явно прописывать конкретные домены типа https://my-domain.net.

На клиентской стороне настройка обычно не требуется, так как браузер самостоятельно обрабатывает CORS-заголовки. Однако в AJAX-запросах необходимо правильно формировать параметры и корректно обрабатывать ответы. Например, для Fetch API: 

 fetch('https://api.another-site.net/data') 
  .then(response => response.json()) 
  .catch(error => console.error'Ошибка CORS:', error));

Частые ошибки при работе с CORS и как их избежать

Одна из самых распространенных ошибок — неправильная настройка заголовков на сервере. Разработчики часто забывают добавить нужные Access-Control заголовки или настраивают их некорректно — это приводит к блокировке запросов и неработающему функционалу приложения.

Другая частая проблема: когда в запросе есть cookies или authorization заголовки, сервер должен явно разрешить их передачу в Access-Control-Allow-Credentials. При этом нельзя использовать wildcard (*) в Access-Control-Allow-Origin — необходимо прописать конкретные домены.

Многие разработчики сталкиваются с проблемами при работе с preflight запросами. Сервер должен корректно обрабатывать OPTIONS запросы и возвращать все необходимые заголовки. Забытый метод или заголовок в Access-Control-Allow-Methods или Access-Control-Allow-Headers приведет к блокировке первоначального запроса.

Кэширование preflight запросов также способно вызывать неожиданное поведение. Браузеры кэшируют результаты OPTIONS запросов, и изменения в настройках CORS могут не применяться немедленно. Заголовок Access-Control-Max-Age позволяет контролировать время кэширования.

Во избежание этих проблем рекомендуется использовать специализированные инструменты тестирования CORS, документировать security policies и регулярно проверять серверные логи на предмет блокировок.

Поддержка в браузерах и безопасность

Практически все современные браузеры поддерживают технологию CORS. Однако некоторые старые версии могут иметь ограничения или вовсе не поддерживать эту функциональность.

Важно помнить, что несмотря на защиту, обеспечиваемую механизмом CORS, злоумышленники продолжают искать способы обхода политик безопасности. Это значит, что разработчики должны постоянно обновлять свои знания и следить за новыми угрозами и рекомендациями по защите данных.

Заключение

Надеемся, что теперь вам понятно, почему эта технология веб-программирования значима для разработчиков и какая роль ей отводится в обеспечении безопасности интернет-приложений. Следуя простым правилам и учитывая возможные подводные камни, вы сможете эффективно использовать CORS в своих проектах и обеспечить надёжную защиту ваших ресурсов.