aio350 Aug 11 2020 at 11:34

Политика общего происхождения и CORS: визуальное руководство

5 min

17K

Website development*JavaScript*Programming*

Translation

Comments 4

Alexandroppolus Aug 11 2020 at 12:58

Кроме аяксовых запросов и iframe, cors ещё всплывает на картинках и внешних css. Картинки "портят" канву, не получится её сохранить в base64 или блоб. А в таблицу стилей нельзя залезть скриптом. То есть общая идея — данные с другого домена невозможно получить в js.
Атрибут crossorigin позволяет решить вопрос, но сервер должен добавить упомянутый в посте заголовок ответа, чтобы разрешить.

monochromer Aug 11 2020 at 14:47

~~del~~

ermak0ff Aug 13 2020 at 00:21

Когда происходит запрос к другому источнику, клиент автоматически добавляет в HTTP-запрос заголовок Origin.

а можно ли вручную указать заголовок Origin для обхода CORS?

fedorro Aug 15 2020 at 17:50

Скриптом из браузера его изменить нельзя, иначе смысла бы не было во всем этом механизме. Если браузер скомпрометирован или стоит вредоносное расширение то подмена Origin — уже не самая большая проблема. Кроме того сервер всё равно отправляет ответ (даже если Origin не тот), и разрешенные получатели опять же сравниваются на стороне клиента. Хотя возможно и на стороне сервера заложить логику не отвечать запросам с неправильным заголовком, как раньше по заголовку Referer некоторые ресурсы пытались противостоять тиражированию ссылок на скачивание на сторонних ресурсах.