Комментарии 15
Адская штука этот ваш CORS, конечно, но полезная
Натерпелся я в свое время с ним, пока неопытный был
Натерпелся я в свое время с ним, пока неопытный был
Ну, если для чайников, то в разработке нпр.:
Firefox: https://addons.mozilla.org/en-US/firefox/addon/cors-everywhere/
Chrome: https://chrome.google.com/webstore/detail/allow-cors-access-control/lhobafahddgcelffkeicbaginigeejlf
А потом, нпр. если Apache:
Header set Access-Control-Allow-Origin "*"
в /etc/apache2/sites-available/000-default.conf
Если делаем React/Next/… итд, a back-end на «каком-то-там-нашем» сервере, то по любому будет CORS головная боль. Back-end там, а сайт (Node) на нашей машине (localhost). Чистой воды CORS. Плагины помогают это превзойти на стадии разработки, пока не залили front-end на наш сервер.
Если и впредь будет Cross Origin, то только настройки веб сервера.
Firefox: https://addons.mozilla.org/en-US/firefox/addon/cors-everywhere/
Chrome: https://chrome.google.com/webstore/detail/allow-cors-access-control/lhobafahddgcelffkeicbaginigeejlf
А потом, нпр. если Apache:
Header set Access-Control-Allow-Origin "*"
в /etc/apache2/sites-available/000-default.conf
Если делаем React/Next/… итд, a back-end на «каком-то-там-нашем» сервере, то по любому будет CORS головная боль. Back-end там, а сайт (Node) на нашей машине (localhost). Чистой воды CORS. Плагины помогают это превзойти на стадии разработки, пока не залили front-end на наш сервер.
Если и впредь будет Cross Origin, то только настройки веб сервера.
НЛО прилетело и опубликовало эту надпись здесь
Перед любым запросом, отличным от GET, предварительно отправляется OPTIONS-запрос, и если в его ответе не прилетело разрешение на выполнение запроса, то реальный запрос отправлен не будет, так что CSRF уязвимости здесь нет. И об этом в посте даже написано
НЛО прилетело и опубликовало эту надпись здесь
CORS запросы делятся на простые и сложные, для простых не требуется пердварительный OPTIONS, запрос сразу улетает на сервер открывая двери для CSRF.
К простым запросам относятся: методы GET/POST/HEAD c content-type text/plain, application/x-www-form-urlencoded, multipart/form-data.
developer.mozilla.org/ru/docs/Web/HTTP/CORS
К простым запросам относятся: методы GET/POST/HEAD c content-type text/plain, application/x-www-form-urlencoded, multipart/form-data.
developer.mozilla.org/ru/docs/Web/HTTP/CORS
Я так дико ненавижу CORS что у меня на физическом уровне отвращение при попытке прочитать статью, что мне делать?
Ошибка: к 3-им лицам.
Правильно: к третьим или, на худой конец, к 3-м.
Пока не мог решить проблему с CORS пользовался проксированием запросов через nginx на локальной машине, но только как временное решение
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
CORS для чайников: история возникновения, как устроен и оптимальные методы работы