Çarpaz Mənşəli Resurs Paylaşımını Anlayın (CORS)

Cross-Origin Resource Sharing (CORS) 2006-cı ildə Ümumdünya Veb Konsorsiumu (W3C) tərəfindən veb serverlərə serverin resurslarına daxil olmaq üçün icazə verilən hər hansı digər mənşəyi (domen, sxem və ya port) müəyyən etmək üçün bir yol təqdim etmək üçün təqdim edilmişdir. eyni mənşəli siyasət. Bu, ciddi təhlükəsizlik protokollarını qoruyarkən daha interaktiv və inteqrasiya olunmuş veb proqramlarına imkan verən veb təhlükəsizliyində əhəmiyyətli təkamül idi.

Cross-Origin Resurs Paylaşımı nədir?

CORS (Mənbələrarası Resurs Paylaşımı) brauzerə bir mənbədə (domen) işləyən veb proqrama başqa mənşəli serverdən seçilmiş resurslara daxil olmaq icazəsi verməsini bildirmək üçün HTTP başlıqlarından istifadə edən mexanizmdir. Bu, veb təhlükəsizliyində mühüm inkişafdır, çünki o, zərərli hücumlardan qorunmaqla yanaşı, müxtəlif veb xidmətləri arasında daha açıq ünsiyyətə imkan verir.

CORS Veb Təhlükəsizliyini Necə Təkmilləşdirir: Texniki Baxış

CORS veb tətbiqlərə veb saytdan fərqli mənşəli serverlərə sorğu göndərməyə imkan verən təhlükəsizlik xüsusiyyətidir.

CORS-dan əvvəl eyni mənşəli siyasət veb tətbiqləri yalnız saytla eyni domenə sorğu verməklə məhdudlaşdırırdı. Bu siyasət zərərli saytların həssas məlumatlara daxil olmasının qarşısını alan kritik təhlükəsizlik tədbiri olsa da, müasir veb tətbiqləri üçün zəruri olan qanuni mənşəli qarşılıqlı əlaqəni məhdudlaşdırır.

CORS serverlərə brauzerə hansı mənşələrin resurslara daxil olmasına icazə verildiyini bildirən xüsusi başlıqları daxil etməyə imkan verir. Budur CORS-in təhlükəsizliyi necə artırdığına dair əsas nümunə:

1. ünvanında veb tətbiqi https://example.com müraciət etməyə çalışır https://api.example.org/data.
2. Brauzer avtomatik olaraq CORS sorğusunu göndərir https://api.example.org/data.
3. Server ünvanında https://api.example.org olub olmadığını müəyyən etmək üçün CORS siyasətini yoxlayır https://example.com icazə verilir.
4. Əgər https://example.com icazə verilirsə, server müvafiq CORS başlıqları ilə cavab verir, məsələn Access-Control-Allow-Origin: https://example.com, brauzerin veb proqrama resurslara daxil olmasına icazə verməli olduğunu göstərir.

CORS olmadan, eyni mənşəli siyasət sorğunu bloklayacaq, lakin CORS ilə server etibarlı mənşəli mənşəli sorğulara təhlükəsiz şəkildə icazə verə bilər.

Sadə və Uçuşdan əvvəl sorğular: Fərqi Anlamaq

CORS sorğuları iki növə bölünür: sadə sorğular və əvvəlcədən idarə olunan sorğular. Aralarındakı fərq istifadə edilən metoda və sorğu ilə göndərilən başlıqlara əsaslanır.

• Sadə sorğular: Bunlar CORS tərəfindən müəyyən edilmiş müəyyən meyarlara cavab verən sorğulardır. Sadə sorğu GET, POST və ya HEAD metodundan istifadə edə bilər. Üstəlik, o, yalnız təhlükəsiz hesab edilən və istifadəçi tərəfindən təyin olunmayan başlıqlardan istifadə etməlidir, məsələn Accept, Accept-Language, Content-Language, və Content-Type dəyərləri ilə application/x-www-form-urlencoded, multipart/form-data, və ya text/plain. Budur sadə bir sorğu nümunəsi:

fetch('https://api.example.org/data', {
  method: 'GET',
  headers: {
    'Accept': 'application/json',
  }
});

• Əvvəlcədən təyin edilmiş sorğular: Bu sorğular sadə sorğular üçün meyarlara cavab vermir və faktiki sorğu göndərilməmişdən əvvəl OPTIONS metodu ilə ilkin “uçuşdan əvvəl” sorğu tələb olunur. Bu uçuş öncəsi hədəf resursun CORS siyasətinə əsaslanaraq faktiki sorğunun göndərilməsinin təhlükəsiz olub olmadığını yoxlayır. Metod GET, POST və ya HEAD-dan fərqli olduqda və ya fərdi başlıqlar istifadə edildikdə əvvəlcədən təyin edilmiş sorğular istifadə olunur. Budur bir nümunə:

fetch('https://api.example.org/data', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'X-Custom-Header': 'value'
  },
  body: JSON.stringify({key: 'value'})
});

Bu halda, brauzer əvvəlcə OPTIONS sorğusu göndərir https://api.example.org/data POST sorğusunun a ilə olub olmadığını müəyyən etmək Content-Type of application/json və fərdi başlıq X-Custom-Header icazə verilir.

CORS başlıqları izah edildi: Onlar nədir və necə işləyirlər

CORS server və brauzer arasında əlaqə yaratmaq üçün xüsusi HTTP başlıqlarına əsaslanır. Bu başlıqlar brauzerin sorğunun davam etdirilməsi üçün bloklanmasını və ya icazə verməsini müəyyənləşdirir. Budur əsas CORS başlıqları:

• Access-Control-Allow-Origin: Bu başlıq hansı mənşə(lər)in resursa daxil olmasına icazə verildiyini müəyyən edir. kimi müəyyən bir mənşəyə təyin edilə bilər https://example.com, və ya * bütün mənşələrə icazə vermək (baxmayaraq ki * etimadnamə ilə icazə verilmir).
• Access-Control-Allow-Methods: Bu başlıq resursa daxil olarkən hansı HTTP metodlarına icazə verildiyini göstərmək üçün əvvəlcədən uçuş sorğusuna cavab olaraq istifadə olunur.
• Access-Control-Allow-Headers: Uçuşdan əvvəl sorğuya cavab olaraq, bu başlıq faktiki sorğuda hansı başlıqların istifadə oluna biləcəyini müəyyənləşdirir.
• Access-Control-Expose-Headers: Bu başlıq serverlərə brauzerlərin daxil olmasına icazə verilən başlıqları ağ siyahıya salmağa imkan verir.
• Access-Control-Allow-Credentials: Bu başlıq etimadnamə bayrağı doğru olduqda sorğuya cavabın ifşa edilib-edilmədiyini göstərir. Bu təyin edilməlidir true sorğuda kukilər və ya autentifikasiya təfərrüatları iştirak edərsə.
• Access-Control-Max-Age: Bu başlıq uçuş öncəsi sorğunun nəticələrinin nə qədər müddətə yaddaşda saxlanıla biləcəyini göstərir.

CORS başlıqlarını başa düşmək və düzgün şəkildə tətbiq etmək, lazımi mənşəli sorğulara icazə verərkən veb tətbiqlərini təmin etmək üçün vacibdir. Bu başlıqları təyin etməklə tərtibatçılar yalnız etibarlı mənbələrin veb resurslarına daxil ola bilməsini təmin edərək, hansı mənşəli sorğulara icazə verildiyini dəqiqləşdirə bilər.

CORS tətbiqi

Cross-Origin Resource Sharing (CORS) tətbiqi müxtəlif mənşəli mənbələrlə qarşılıqlı əlaqədə olan müasir veb proqramlar üçün vacibdir. Bu bölmə tətbiqlərinizdə CORS-u necə aktivləşdirməyi, ümumi CORS xətalarını aradan qaldırmağı və veb tərtibatçıları üçün ən yaxşı təcrübələri təsvir edir.

Proqramlarınızda CORS-u aktivləşdirmək: Addım-addım bələdçi

CORS-u aktivləşdirmək, sorğulara cavab olaraq müvafiq CORS başlıqlarını göndərmək üçün serverinizi konfiqurasiya etməyi əhatə edir. Proses istifadə etdiyiniz server texnologiyasından (məsələn, Apache, Nginx, Node.js) asılı olaraq dəyişir. CORS-u müxtəlif server mühitlərində necə aktivləşdirmək olar:

• Apache: Apache serverləri üçün aşağıdakı direktivləri əlavə etməklə CORS-u aktivləşdirə bilərsiniz .htaccess fayl və ya server konfiqurasiya faylı:

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
    Header set Access-Control-Allow-Methods "POST, GET, OPTIONS, DELETE, PUT"
    Header set Access-Control-Allow-Headers "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With"
</IfModule>

Bu konfiqurasiya bütün mənşələrə imkan verir (*) müəyyən üsullardan və başlıqlardan istifadə edərək sorğu vermək. tənzimləyin Access-Control-Allow-Origin etibarlı mənşələrə girişi məhdudlaşdırmaq üçün dəyər.

• Nginx: Nginx-də CORS server blokunuza aşağıdakıları əlavə etməklə aktivləşdirilə bilər:

location / {
    if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, DELETE, PUT';
        add_header 'Access-Control-Allow-Headers' 'Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With';
        add_header 'Content-Length' '0';
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        return 204;
    }
    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, DELETE, PUT';
    add_header 'Access-Control-Allow-Headers' 'Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With';
}

• Node.js (Express): Express istifadə edən Node.js proqramları üçün CORS istifadə edərək asanlıqla aktivləşdirilə bilər cors ara proqram:

const express = require('express');
const cors = require('cors');

const app = express();

app.use(cors({
    origin: '*', // Adjust this to your specific origin
    methods: ['GET', 'POST', 'OPTIONS', 'DELETE', 'PUT'],
    allowedHeaders: ['Content-Type', 'Access-Control-Allow-Headers', 'Authorization', 'X-Requested-With'],
}));

app.get('/data', (req, res) => {
    res.json({ message: 'This is CORS-enabled for all origins!' });
});

app.listen(3000, () => {
    console.log('Server running on port 3000');
});

Ümumi CORS səhvlərinin aradan qaldırılması: Məsləhətlər və fəndlər

CORS xətaları adətən serverin CORS siyasətinə görə brauzer sorğunu bloklayanda baş verir. Ümumi səhvlərə itkinlik haqqında mesajlar daxildir Access-Control-Allow-Origin başlıqlara və ya üsullara icazə verilmir. Bu səhvləri aradan qaldırmaq üçün:

1. Brauzer DevTools istifadə edin: Müasir brauzerlər konsolda ətraflı səhv mesajları təqdim edir. Bu mesajlar tez-tez nəyin çatışmadığını və ya səhv konfiqurasiya olunduğunu göstərir.
2. Server Konfiqurasiyasını yoxlayın: Serverinizin lazımi CORS başlıqlarını göndərmək üçün düzgün konfiqurasiya olunduğundan əmin olun. Çatışmayan başlıqlar və ya yanlış dəyərlər ümumi problemlərdir.
3. Alətlərlə sınayın: Postman və ya cURL kimi alətlər müxtəlif mənşəli sorğuları simulyasiya edə və serverin düzgün CORS başlıqları ilə cavab verib-vermədiyini müəyyən etməyə kömək edə bilər.
4. CORS Siyasətini nəzərdən keçirin: Serverdəki CORS siyasətinizin veb tətbiqinizin tələblərinə uyğun olduğundan əmin olun. Məsələn, tətbiqinizin etimadnamələr (kukilər, HTTP autentifikasiyası) göndərilməsi lazımdırsa, əmin olun Access-Control-Allow-Credentials təyin edilir true və Access-Control-Allow-Origin təyin edilməyib *.

Veb Tərtibatçıları üçün CORS Konfiqurasiya Ən Yaxşı Təcrübələri

CORS-in təhlükəsiz və səmərəli şəkildə həyata keçirilməsi ən yaxşı təcrübələrə riayət etməyi tələb edir:

• Dəqiq mənşəyi göstərin: istifadə etmək əvəzinə * üçün Access-Control-Allow-Origin, resurslarınıza daxil olmaq üçün icazə verilməli olan dəqiq mənşəyi göstərin. Bu, arzuolunmaz mənşəli sorğulara məruz qalmağı məhdudlaşdırır.
• Etibarnamələrdən ehtiyatla istifadə edin: Tətbiqiniz etimadnamələrdən istifadə edirsə, əmin olun Access-Control-Allow-Credentials təyin edilir true, və yerinə dəqiq mənşəyi göstərin *. Unutmayın ki, etimadnamələrə kukilər, HTTP autentifikasiyası və müştəri tərəfi SSL sertifikatları daxildir.
• Açıq Başlıqları məhdudlaşdırın: Yalnız zəruri başlıqları vasitəsilə ifşa edin Access-Control-Expose-Headers. Həddindən artıq başlıqların ifşa edilməsi həssas məlumatların sızmasına səbəb ola bilər.
• Uçuşdan əvvəl Keş Müddətini Doğrulayın: İstifadə edin Access-Control-Max-Age uçuş öncəsi sorğuların sayını azaltmaqla uçuşdan əvvəl cavabları keş etmək. Bununla belə, müddətin CORS siyasətinizin nə qədər tez-tez dəyişə biləcəyinə uyğun olduğundan əmin olun.
• Dinamik CORS Siyasətlərini həyata keçirin: Daha mürəkkəb tətbiqlər üçün tənzimləyən dinamik CORS siyasətlərini həyata keçirməyi düşünün Access-Control-Allow-Origin sorğunun mənşəyinə əsaslanır. Bu serverdə proqramlı şəkildə edilə bilər.
• CORS Siyasətlərini müntəzəm olaraq nəzərdən keçirin: Veb tətbiqiniz inkişaf etdikcə, onların hələ də təhlükəsizlik və funksionallıq tələblərinizə cavab verdiyinə əmin olmaq üçün CORS siyasətlərinizi mütəmadi olaraq nəzərdən keçirin və yeniləyin.

Bu təlimatlara əməl etməklə və CORS-u necə konfiqurasiya etmək və sazlamaq lazım olduğunu başa düşməklə, tərtibatçılar öz veb proqramlarının mənşəyində etibarlı və effektiv şəkildə əlaqə saxlamasını təmin edə bilərlər.

CORS Fəaliyyətdədir

Cross-Origin Resource Sharing (CORS) tətbiqi təkcə bir xüsusiyyəti işə salmaq deyil; onun müasir veb proqramları kontekstində necə işlədiyini başa düşməkdən ibarətdir. Bu bölmə CORS-in real dünya nümunələrini, CORS siyasətlərinin idarə edilməsini və effektiv tətbiq üçün alət və texnikaları araşdırır.

Real Dünya CORS Nümunələri: Nəzəriyyədən Təcrübəyə

CORS, resursların müxtəlif mənşələrdən etibarlı şəkildə tələb edilməsinə imkan verən veb inkişafının əsas hissəsidir. CORS-in mühüm rol oynadığı bəzi real ssenarilər bunlardır:

• Tək Səhifəli Tətbiqlərdə (SPA) API istehlakı: SPA-lar tez-tez müxtəlif domenlərdə yerləşdirilən API-ləri istehlak edirlər. Məsələn, bir React tətbiqi xidmət göstərir https://myapp.com istifadəçi məlumatlarını əldə etmək lazım ola bilər https://api.userdata.com. CORS olmadan, bu çarpaz mənşəli sorğu brauzer tərəfindən bloklanacaq. Müvafiq CORS başlıqlarını təyin etməklə (Access-Control-Allow-Origin: https://myapp.com) API serverində SPA tələb olunan məlumatları təhlükəsiz şəkildə tələb edə bilər.

// Example fetch request in an SPA
fetch("https://api.userdata.com/user", {
  method: "GET",
  headers: {
    "Content-Type": "application/json",
  },
})
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error('Error fetching user data:', error));

• Məzmun Çatdırılma Şəbəkələri (CDNs): CDN-lər dünyanın müxtəlif yerlərindən statik aktivlərə (şəkillər, skriptlər, üslub cədvəlləri) xidmət edir. Veb tətbiqiniz bu ünvanda yerləşdirildikdə https://example.com -dən şəkil tələb edir https://cdn.example.com, CORS statik aktivlər üçün bu mənşəli sorğuların təhlükəsiz şəkildə idarə olunmasını təmin edir.
• Üçüncü tərəf vidjetləri və inteqrasiyaları: Veb saytlar tez-tez xarici serverlərdən resurslara daxil olmağı tələb edən üçüncü tərəf vidjetlərini (məsələn, chatbotlar, sosial media lentləri) birləşdirir. CORS bu vidjetlərin müxtəlif mənşəlilər arasında problemsiz işləməsinə imkan verir və təhlükəsizliyə xələl gətirmədən istifadəçi təcrübəsini artırır.

CORS Siyasətlərinin İdarə Edilməsi: Effektiv Tətbiq üçün Alətlər və Texnikalar

CORS siyasətlərini effektiv şəkildə idarə etmək sizin ixtiyarınızda olan alətləri və texnikaları başa düşməyi tələb edir:

• Server Konfiqurasiyası: CORS siyasətlərini idarə etməkdə ilk addım veb serverinizi konfiqurasiya etməkdir. Bu, tətbiqinizin ehtiyaclarına əsaslanaraq lazımi CORS başlıqlarını təyin etməyi əhatə edir. Əksər veb serverlər (Apache, Nginx, IIS) bu başlıqları konfiqurasiya fayllarında və ya .htaccess vasitəsilə (Apache üçün) müəyyən etməyə imkan verir.
• Veb Çərçivələri üçün orta proqram: Əgər veb çərçivədən istifadə edirsinizsə (Node.js üçün Express.js, Python üçün Django), bir çoxları CORS siyasətinin idarə edilməsini sadələşdirən ara proqram paketləri təklif edir. Məsələn, cors Express paketi CORS siyasətlərini birbaşa tətbiq kodunuzda müəyyən etməyə imkan verir.

// Example using the cors middleware in an Express.js application
const cors = require('cors');
const express = require('express');
const app = express();

// Define CORS options
const corsOptions = {
  origin: 'https://example.com',
  optionsSuccessStatus: 200,
};

app.use(cors(corsOptions));

app.get('/data', (req, res) => {
  res.json({ message: 'CORS-enabled route' });
});

app.listen(3000, () => console.log('Server running on port 3000'));

• Dinamik CORS İdarəetmə: Çoxlu etibarlı mənşəli sorğulara icazə verməli olan proqramlar üçün dinamik CORS idarəsi həyata keçirilə bilər. Bu, proqramın qurulmasını nəzərdə tutur Access-Control-Allow-Origin daxil olan sorğunun mənşəyinə əsaslanan başlıq.

// Example of dynamic CORS handling
app.use((req, res, next) => {
  const allowedOrigins = ['https://example.com', 'https://api.example.com'];
  const origin = req.headers.origin;
  if (allowedOrigins.includes(origin)) {
    res.setHeader('Access-Control-Allow-Origin', origin);
  }
  next();
});

CORS Siyasətlərinin Sınaq və Sazlanması üçün Alətlər

• Brauzer Developer Alətləri: Brauzer tərtibatçısı alətlərindəki şəbəkə nişanı CORS səhvlərini yoxlamaq və CORS başlıqlarının real vaxtda necə göndərilib qəbul edildiyini başa düşmək üçün əvəzolunmazdır.
• Onlayn Alətlər: kimi alətlər CORS Test Cihazı və poçtalyon serverinizə müxtəlif mənşəli sorğular göndərərək və cavabı yoxlayaraq CORS siyasətlərini sınamağa imkan verir.
• Komanda xətti alətləri: curl komanda xəttindən CORS siyasətlərini sınamaq üçün güclü vasitədir. O, müxtəlif mənşəli sorğuları simulyasiya etmək və serverin cavabında CORS başlıqlarını yoxlamaq üçün istifadə edilə bilər.

# Example curl command to test CORS
curl -H "Origin: https://example.com" \
     -I https://api.example.com/data

Bu real dünya proqramlarını və idarəetmə strategiyalarını başa düşərək, tərtibatçılar CORS-dan tam potensialından istifadə edərək veb proqramlarının mənşələr üzrə resurslarla etibarlı şəkildə qarşılıqlı əlaqəsini təmin edə bilərlər.

İstər SPA-larda mənşəli API sorğularını işə salmaq, CDN-lər vasitəsilə aktivlərə xidmət göstərmək və ya üçüncü tərəf vidjetlərini inteqrasiya etmək olsun, CORS müasir veb ekosisteminin vacib hissəsidir və düzgün idarə edildikdə həm təhlükəsizlik, həm də funksionallıq təmin edir.

CORS-in Təhlükəsizlik Təsirləri

Cross-Origin Resource Sharing (CORS) tətbiqi veb tətbiqləri üçün əhəmiyyətli təhlükəsizlik təsirləri daşıyır. CORS veb tətbiqlərinə müxtəlif mənşəli mənbələrdən qaynaqlar tələb etməyə imkan versə də, düzgün konfiqurasiya edilmədikdə potensial zəiflikləri də təqdim edir.

Bu bölmə Cross-Site Scripting (XSS) hücumlarının azaldılmasını və ciddi CORS siyasətlərinin əhəmiyyətini vurğulayaraq CORS-un təhlükəsizlik aspektlərini araşdırır.

CORS və Veb Təhlükəsizliyi: Saytlararası Skriptləmə (XSS) Hücumlarının Azaldılması

Saytlararası skript (XSS) hücumları təcavüzkarlara zərərli skriptləri başqa cür xoşagəlməz və etibarlı veb saytların məzmununa daxil etməyə imkan verir.

Bu hücumlar, tətbiq düzgün təsdiqlənmədən və ya qaçmadan veb səhifəyə etibarsız məlumatları daxil etdikdə baş verir ki, bu da təcavüzkarlara qurbanın brauzer kontekstində skriptləri icra etməyə imkan verir. CORS, hansı mənşələrin veb tətbiqinizlə əlaqə saxlamasına icazə verildiyini idarə edərək XSS hücumlarını azaltmaq üçün çox vacibdir.

Tətbiqin zərərli skriptləri ehtiva edə bilən istifadəçi tərəfindən yaradılan məzmuna icazə verdiyi bir ssenarini nəzərdən keçirin.

Müvafiq məzmunun təmizlənməsi və ciddi CORS siyasəti olmadan bu proqram XSS hücumları üçün vektor ola bilər. CORS birbaşa XSS-in qarşısını almır, lakin hücum səthini azaldaraq, yalnız müəyyən mənşəlilərin tətbiqinizə sorğu göndərməsini təmin etməklə daha geniş təhlükəsizlik strategiyasına töhfə verir.

Məsələn, tətbiqinizi düşünək https://safe-app.com ünvanında yerləşdirilən API istifadə edir https://api.safe-app.com. təyin etməklə Access-Control-Allow-Origin üçün başlıq https://safe-app.com, yalnız tətbiqinizdən gələn sorğuların API-yə daxil ola biləcəyini təmin edirsiniz. Bu məhdudiyyət API ilə qarşılıqlı əlaqəni etibarlı mənşələrə məhdudlaşdırmaqla potensial XSS hücumlarını azaltmağa kömək edir.

Access-Control-Allow-Origin: https://safe-app.com

Bununla belə, XSS və digər hücum növlərini effektiv şəkildə yumşaltmaq üçün CORS siyasətlərini istifadəçi daxiletməsini təsdiqləmək və təmizləmək kimi digər təhlükəsizlik təcrübələri ilə birləşdirmək çox vacibdir.

Ciddi CORS Siyasətlərinin Önəmi: Veb Tətbiqlərinizin Qorunması

Ciddi CORS siyasətlərinin həyata keçirilməsi veb proqramlarınızı müxtəlif təhlükəsizlik təhdidlərindən qorumaq üçün çox vacibdir. Ayar kimi lax CORS siyasəti Access-Control-Allow-Origin üçün *, istənilən mənşənin serverinizə sorğu göndərməsinə icazə verməklə tətbiqinizi məlumat oğurluğu, CSRF hücumları və digər zəifliklərə məruz qoya bilər.

Ciddi CORS siyasəti hansı mənşələrə, metodlara və başlıqlara icazə verildiyini müəyyən edir. Bu spesifiklik yalnız etibarlı veb proqramlarının resurslarınızla qarşılıqlı əlaqədə olmasını təmin edir, həssas məlumatların və tətbiqin bütövlüyünü qorumağa kömək edən təhlükəsizlik qatını təmin edir.

Məsələn, müəyyən bir domendən girişə icazə verən və etimadnamələrdən (kukilər, HTTP autentifikasiyası) istifadə edən tətbiqi nəzərdən keçirin:

Access-Control-Allow-Origin: https://trusted-domain.com
Access-Control-Allow-Credentials: true

Bu konfiqurasiya icazə verir https://trusted-domain.com digər mənşəli sorğular rədd edilərkən, ərizənizə etimadnamə ilə sorğular etmək. Bu məhdudiyyət həssas məlumatları idarə edən və ya istifadəçi adından hərəkətlər edən proqramlar üçün çox vacibdir.

Bundan əlavə, icazə verilən metodların və başlıqların təyin edilməsi təhlükəsizliyi daha da gücləndirir:

Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: Content-Type, X-Custom-Header

Bu quraşdırma icazəsiz və ya zərərli sorğuların riskini azaldaraq, yalnız müəyyən başlıqlarla GET və POST sorğularının qəbul edilməsini təmin edir.

Təhlükəsiz CORS Tətbiqi üçün Ən Yaxşı Təcrübələr

1. İcazə verilən mənşəyi göstərin: Joker işarədən istifadə etmək əvəzinə həmişə xüsusi mənşəyi müəyyənləşdirin *. Bu təcrübə yalnız etibarlı domenlərin tətbiqinizə sorğu göndərə biləcəyini təmin edir.
2. Etibarnamə ilə girişi məhdudlaşdırın: Etibarnamələrə icazə verərkən ehtiyatlı olun. Bunu təmin edin Access-Control-Allow-Credentials təyin edilir true yalnız zərurət olduqda və mənşəyi aydın şəkildə müəyyən edilir.
3. İcazə verilən metodları və başlıqları müəyyənləşdirin: Hansı üsullara və başlıqlara icazə verildiyini göstərin. Bu məhdudiyyət yalnız təhlükəsizliyi gücləndirmir, həm də API ilə qarşılıqlı əlaqədə olan tərtibatçılar üçün aydın sənədlər təqdim edir.
4. Uçuşdan əvvəl sorğulardan istifadə edin: Çarpaz mənşəli sorğuları qəbul etməzdən əvvəl yoxlamaq üçün uçuş öncəsi sorğulardan faydalanın. Uçuşdan əvvəl sorğular faktiki sorğunun CORS siyasətinizə uyğun olmasını təmin edərək əlavə yoxlama qatı əlavə edir.
5. CORS Siyasətlərini müntəzəm olaraq nəzərdən keçirin: Tətbiqiniz inkişaf etdikcə, tətbiqinizin arxitekturasında və domenlə qarşılıqlı əlaqədə dəyişiklikləri əks etdirmək üçün CORS siyasətlərinizi mütəmadi olaraq nəzərdən keçirin və yeniləyin.
6. CORS-u digər təhlükəsizlik tədbirləri ilə birləşdirin: CORS hərtərəfli təhlükəsizlik strategiyasının bir hissəsi olmalıdır. XSS və digər veb zəifliklərindən qorunmaq üçün CORS siyasətlərini məzmun təhlükəsizliyi siyasətləri (CSP), daxiletmənin yoxlanılması, çıxış kodlaşdırması və digər ən yaxşı təhlükəsizlik təcrübələri ilə birləşdirin.

CORS-in təhlükəsizlik nəticələrini başa düşmək və ciddi CORS siyasətlərini həyata keçirməklə, tərtibatçılar müasir veb proqramların tələb etdiyi lazımi mənşəli qarşılıqlı əlaqəni təmin etməklə öz veb proqramlarını mənşəli hücumlardan qoruya bilərlər.

Təkmil CORS Mövzuları

Veb proqramları mürəkkəbləşdikcə, Cross-Origin Resource Sharing (CORS) nüanslarını başa düşmək getdikcə daha vacib olur. Bu bölmə əsas konfiqurasiyalardan kənar CORS və API təhlükəsizliyi daxil olmaqla qabaqcıl CORS mövzularını və ümumi problemlərin aradan qaldırılmasını araşdırır.

CORS və API Təhlükəsizliyi: Təhlükəsiz Çarpaz Mənşəli Sorğuların Təmin Edilməsi

API-lər müxtəlif xidmətlər arasında məlumat mübadiləsini və funksionallığı asanlaşdıran müasir veb proqramların əsasını təşkil edir. CORS yalnız səlahiyyətli mənşəlilərin API-yə daxil ola bilməsini təmin etməklə API təhlükəsizliyində mühüm rol oynayır. CORS API təhlükəsizliyini necə gücləndirir:

• Token əsaslı identifikasiya: Bir çox API-lər girişi təmin etmək üçün token əsaslı autentifikasiyadan istifadə edir (məsələn, OAuth 2.0, JWT). CORS siyasətləri, məsələn, token başlıqlarına icazə vermək üçün diqqətlə konfiqurasiya edilməlidir Authorization, etibarlı mənşədən. Məsələn, icazə vermək Authorization Çapraz mənşəli sorğularda başlıqlar varsa, serveriniz onu açıq şəkildə siyahıya almalıdır Access-Control-Allow-Headers.

Access-Control-Allow-Headers: Authorization

• Üçüncü tərəf API istehlakı: Veb tətbiqiniz üçüncü tərəf API-lərini istehlak etdikdə, bu API-lərin CORS siyasətlərini başa düşmək çox vacibdir. Üçüncü tərəf API-nin məhdudlaşdırıcı CORS siyasəti varsa, sorğuları API-yə ötürmək üçün domeninizdə server tərəfi proksidən istifadə etməli ola bilərsiniz və bununla da CORS məhdudiyyətlərindən yayına bilərsiniz.
• Fərdi Başlıqların ifşası: Əgər API-niz proqrama aid məlumat üçün fərdi başlıqlardan istifadə edirsə, bu başlıqlar müştəriyə açıq şəkildə göstərilməlidir. Access-Control-Expose-Headers. Bu, müştəri tərəfi tətbiqinə bu başlıqların dəyərlərini oxumağa imkan verir.

Access-Control-Expose-Headers: X-My-Custom-Header

Əsas CORS-dan kənar: Qabaqcıl Konfiqurasiya və Problemlərin Giderilməsi

Təkmil CORS konfiqurasiyaları daha mürəkkəb ssenariləri həll edə bilər:

• Dynamic Origin Validation: Dinamik mənşələr dəstindən sorğulara icazə verməli olan proqramlar üçün (məsələn, hər bir icarəçinin öz domeni olduğu çox icarəçi proqramlar) dinamik mənşə doğrulamasını həyata keçirmək lazımdır. Bu, proqramın yoxlanılmasını nəzərdə tutur Origin icazə verilən mənşələrin siyahısına qarşı başlıq və təyin Access-Control-Allow-Origin müvafiq olaraq başlıq.

const allowedOrigins = ['https://tenant1.example.com', 'https://tenant2.example.com'];
const origin = request.headers.origin;
if (allowedOrigins.includes(origin)) {
    response.setHeader('Access-Control-Allow-Origin', origin);
}

• WebSockets üçün CORS: WebSockets HTTP sorğuları kimi CORS-a tabe olmasa da, WebSocket bağlantılarını təmin etmək çox vacibdir. İlkin WebSocket əl sıxma sorğusunun (HTTP sorğusudur) düzgün CORS doğrulamasının daxil olmasını təmin etmək yaxşı təcrübədir.
• Uçuşdan əvvəl Keş Optimizasiyası: The Access-Control-Max-Age başlıq uçuşdan əvvəl sorğunun nəticələrinin nə qədər müddətə keşdə saxlanıla biləcəyini müəyyən etmək üçün istifadə edilə bilər. CORS siyasətinizin nə qədər tez-tez dəyişdiyinə əsaslanaraq bu dəyərin optimallaşdırılması uçuşdan əvvəl sorğuların sayını azalda və tətbiqin performansını yaxşılaşdıra bilər.

Access-Control-Max-Age: 86400

Ümumi CORS Problemlərinin aradan qaldırılması

Düzgün CORS quraşdırması ilə belə problemlər yarana bilər. Ümumi CORS problemlərini həll etmək üçün strategiyalar bunlardır:

• Çatışmayan və ya Yanlış CORS Başlıqları: Serverinizin gözlənilən CORS başlıqlarını göndərmək üçün düzgün konfiqurasiya olunduğundan əmin olun. kimi alətlər curl başlıqları əl ilə yoxlamaq üçün istifadə edilə bilər:

curl -I -H "Origin: https://example.com" https://api.example.com/resource

• JavaScript Fetch API-də qeyri-şəffaf cavablar: Fetch API ilə sorğular edərkən qeyri-şəffaf cavab (kors olmayan sorğunun cavabı) problemlərə səbəb ola bilər, çünki o, cavab haqqında əldə edə biləcəyiniz məlumatın növünü məhdudlaşdırır. Ayarlamadığınızdan əmin olun mode: 'no-cors' zəruri hallarda Fetch API sorğularınızda.
• Etibarnamə ilə CORS xətaları: Əgər sorğularınıza etimadnamələr (kukilər, HTTP autentifikasiyası) daxildirsə, əmin olun Access-Control-Allow-Credentials təyin edilir true, və bu Access-Control-Allow-Origin joker simvol deyil (*).
• Uçuşdan əvvəl sorğuların aradan qaldırılması: Uçuşdan əvvəl sorğular uğursuz olarsa, serverinizin idarə etdiyini yoxlayın OPTIONS sorğuları düzgün göndərir və müvafiq CORS başlıqları ilə cavab verir (Access-Control-Allow-Methods, Access-Control-Allow-Headers).

Bu qabaqcıl CORS mövzularına daxil olmaqla, tərtibatçılar mənşəli resurs mübadiləsi üçün veb tətbiqlərini necə təmin etməyi və optimallaşdırmağı daha yaxşı başa düşə bilərlər. İstər API təhlükəsizliyi, mürəkkəb CORS konfiqurasiyaları, istərsə də çətin CORS problemlərinin həlli ilə məşğul olmaqdan asılı olmayaraq, müasir veb inkişafı üçün CORS-u dərindən başa düşmək vacibdir.

Nəticə

CORS-i başa düşmək təhlükəsiz veb qarşılıqlı əlaqə üçün vacibdir; onun düzgün həyata keçirilməsi tətbiqləri pozuntulara qarşı gücləndirir, onun sərt siyasəti XSS hücumlarına qarşı müdafiə edir və qabaqcıl mövzuları araşdırmaq veb inkişafı optimallaşdırır.