CORS (Сross-Origin Resource Sharing)
Cross-Origin Resource Sharing (CORS) — протокол безопасности, который позволяет веб-приложениям безопасно получать доступ к ресурсам другого происхождения. Это возможно за счет использования дополнительных заголовков HTTP для предоставления браузеру разрешения на доступ к этим ресурсам.
Этапы CORS
Предварительный запрос. Перед основным запросом браузер посылает на сервер исследовательский запрос «preflight» через метод HTTP OPTIONS. Его цель — убедиться в безопасности фактического запроса.
CORS-заголовки. Сервер отвечает CORS-заголовками, которые определяют, какие сайты происхождения, HTTP-методы и заголовки допустимы в фактическом запросе.
Фактический запрос. Если предварительная проверка прошла успешно, браузер переходит к отправке фактического запроса с соответствующими данными.
Преимущества CORS
Безопасность. CORS гарантирует, что конфиденциальные данные не попадут в руки вредоносных веб-сайтов, тем самым защищая сервер и клиента.
Гибкость. CORS позволяет разработчикам создавать динамичные и обогащенные веб-сайты за счет безопасного использования ресурсов различного происхождения.
Контроль. CORS определяет, какие сайты могут взаимодействовать с серверами их владельцев, и дает им чувство контроля, позволяя отказаться от «ограничения единственного происхождения».
Применение CORS
Загрузка шрифтов. Когда для веб-страницы необходимы шрифты из разных источников, правильная установка CORS-заголовков имеет большое значение.
Вызовы API. CORS обеспечивает безопасность и авторизацию взаимодействия, когда веб-приложение выполняет вызовы API на сервер из другого источника.
Получение данных. Правильная реализация CORS имеет решающее значение для одностраничных приложений (SPA), которые получают данные из различных источников.
Предыдущая статья