owlofmacloud Apr 23 2021 at 11:12

CORS для чайников: история возникновения, как устроен и оптимальные методы работы

17 min

631K

Маклауд corporate blogBrowsersInformation Security * Website development *

Translation

+54

Comments 16

Hrodvitnir Apr 23 2021 at 11:55

Адская штука этот ваш CORS, конечно, но полезная
Натерпелся я в свое время с ним, пока неопытный был

owlofmacloud Apr 23 2021 at 11:58

Я тоже натерпелся, если честно)

hahenty Apr 24 2021 at 17:37

Все терпели, а кто говорит, что не терпел, терпел больше обычного.

haraldsson Apr 23 2021 at 12:03

Ну, если для чайников, то в разработке нпр.:
Firefox: https://addons.mozilla.org/en-US/firefox/addon/cors-everywhere/
Chrome: https://chrome.google.com/webstore/detail/allow-cors-access-control/lhobafahddgcelffkeicbaginigeejlf

А потом, нпр. если Apache:
Header set Access-Control-Allow-Origin "*"
в /etc/apache2/sites-available/000-default.conf

Если делаем React/Next/… итд, a back-end на «каком-то-там-нашем» сервере, то по любому будет CORS головная боль. Back-end там, а сайт (Node) на нашей машине (localhost). Чистой воды CORS. Плагины помогают это превзойти на стадии разработки, пока не залили front-end на наш сервер.

Если и впредь будет Cross Origin, то только настройки веб сервера.

UFO landed and left these words here

andreymal Apr 23 2021 at 12:44

Перед любым запросом, отличным от GET, предварительно отправляется OPTIONS-запрос, и если в его ответе не прилетело разрешение на выполнение запроса, то реальный запрос отправлен не будет, так что CSRF уязвимости здесь нет. И об этом в посте даже написано

UFO landed and left these words here

3XsAGbKHsb7FPY Apr 23 2021 at 13:47

CORS запросы делятся на простые и сложные, для простых не требуется пердварительный OPTIONS, запрос сразу улетает на сервер открывая двери для CSRF.
К простым запросам относятся: методы GET/POST/HEAD c content-type text/plain, application/x-www-form-urlencoded, multipart/form-data.
developer.mozilla.org/ru/docs/Web/HTTP/CORS

andreymal Apr 23 2021 at 13:52

И правда, POST-запрос отправился без предварительного OPTIONS, не знал. Странное решение

UFO landed and left these words here

errogaht Apr 24 2021 at 08:21

Я так дико ненавижу CORS что у меня на физическом уровне отвращение при попытке прочитать статью, что мне делать?

Max_JK Apr 24 2021 at 09:58

не читать статью, очевидно

Vinchi May 1 2021 at 18:19

почитать еще что-то

shostak Oct 30 2023 at 11:55

Ошибка: к 3-им лицам.
Правильно: к третьим или, на худой конец, к 3-м.

Zak Dec 9 2024 at 12:57

Пока не мог решить проблему с CORS пользовался проксированием запросов через nginx на локальной машине, но только как временное решение

dmproger Nov 6 2025 at 17:28

самое важное что должно быть сказано про CORS - это то, что эти инструкции лишь для браузеров. и лишь рекомендательные. просто браузеры им следуют.

а на по факту уровне HTTP - можно делать любые запросы всегда. создайте свой браузер (или некий хедлесс условно функционал) - и спокойно игнорьте все заголовки и делайте любые запросы, которые вы распарсите с того HTML кода, который получили от клиента/источника.