Понимание CORS: почему это важно и как это работает
28 октября 2022 г.Что такое CORS?
CORS – это механизм, который позволяет запрашивать ресурсы с ограниченным доступом на веб-странице из другого домена за пределами домена, из которого был предоставлен первый ресурс. Веб-страница может свободно вставлять изображения, таблицы стилей, скрипты, фреймы и видео из разных источников.
Совместное использование ресурсов между источниками (CORS) — это механизм, который позволяет запрашивать ограниченные ресурсы на веб-странице из другого домена за пределами домена, из которого обслуживался первый ресурс. Веб-страница может свободно вставлять изображения, таблицы стилей, скрипты, фреймы и видео из разных источников.
Типы запросов CORS
Существует два типа запросов между источниками: простые запросы и предварительные запросы.
Простые запросы
Простой запрос — это запрос, в котором используются такие методы, как GET, HEAD или POST. Эти методы считаются безопасными, поскольку они не могут вызвать изменение состояния сервера.
Предварительные запросы
Предварительный запрос — это запрос, в котором используется такой метод, как PUT или DELETE. Эти методы могут вызвать изменение состояния на сервере, поэтому браузер отправляет запрос на сервер, чтобы проверить, разрешен ли запрос. Затем сервер отвечает соответствующими заголовками, и если ответ успешен, браузер отправляет фактический запрос.
Механизм CORS
Механизм CORS работает путем добавления заголовков HTTP к HTTP-запросам и ответам из разных источников. Эти заголовки указывают, разрешен ли доступ к ресурсам запросу или ответу.
Как работает CORS?
Когда браузер отправляет запрос на сервер, он включает заголовок Origin. Этот заголовок содержит источник запроса, то есть домен, протокол и порт страницы, отправляющей запрос.
Затем сервер может решить, разрешить или отклонить запрос. Если запрос разрешен, сервер включает в ответ заголовок Access-Control-Allow-Origin. Этот заголовок указывает источник, которому разрешен доступ к ресурсам.
Если запрос отклонен, сервер включает заголовок Access-Control-Allow-Origin со значением "*", что указывает на то, что ни одному источнику не разрешен доступ к ресурсам.
Почему CORS важен?
CORS важен, поскольку позволяет браузерам применять политику одного и того же источника. Политика того же источника — это мера безопасности, которая предотвращает доступ вредоносного скрипта к ресурсам, к которым у него не должно быть доступа.
Без CORS вредоносный сценарий может сделать запрос к серверу в другом домене и получить доступ к ресурсам, к которым пользователь страницы не имеет доступа.
Каковы преимущества CORS?
CORS предоставляет ряд преимуществ:
- Он позволяет браузерам применять политику одного и того же источника, что является мерой безопасности, предотвращающей доступ вредоносного скрипта к ресурсам, к которым у него не должно быть доступа.
- Это позволяет запрашивать ограниченные ресурсы на веб-странице из другого домена. Это может быть полезно, если вы хотите встроить ресурс из другого домена, например изображение или видео.
- Это позволяет браузеру отправить предварительный запрос на сервер, чтобы проверить, разрешен ли запрос. Это может быть полезно, если вы хотите сделать запрос, который потенциально может привести к изменению состояния сервера.
Не стесняйтесь обращаться ко мне!😊
🕊 Твиттер | 👩💻 Instagram | 📩 Электронная почта
Также опубликовано здесь.
Оригинал