கிராஸ்-ஆரிஜின் ரிசோர்ஸ் ஷேரிங் (CORS) புரிந்து கொள்ளுங்கள்

கிராஸ்-ஆரிஜின் ரிசோர்ஸ் ஷேரிங் (CORS) ஆனது 2006 இல் உலகளாவிய வலை கூட்டமைப்பு (W3C) மூலம் அறிமுகப்படுத்தப்பட்டது ஒரே மூலக் கொள்கை. இது இணைய பாதுகாப்பில் குறிப்பிடத்தக்க பரிணாம வளர்ச்சியாக இருந்தது, கடுமையான பாதுகாப்பு நெறிமுறைகளை பராமரிக்கும் போது மேலும் ஊடாடும் மற்றும் ஒருங்கிணைந்த வலை பயன்பாடுகளை செயல்படுத்துகிறது.

CORS (Cross-Origin Resource Sharing) இன் இயக்கவியலைப் புரிந்துகொள்வது நவீன இணைய வளர்ச்சிக்கு முக்கியமானது. CORS இணையப் பாதுகாப்பை எவ்வாறு மேம்படுத்துகிறது, எளிய மற்றும் ப்ரீஃப்லைட் கோரிக்கைகளை வேறுபடுத்துகிறது மற்றும் CORS தலைப்புகளின் முக்கியத்துவத்தை விளக்குகிறது.

CORS (குறுக்கு தோற்றம் வள பகிர்வு) ஒரு பூர்வீகத்தில் (டொமைனில்) இயங்கும் வலைப் பயன்பாட்டை வேறு தோற்றத்தில் உள்ள சர்வரில் இருந்து தேர்ந்தெடுக்கப்பட்ட ஆதாரங்களை அணுக அனுமதி பெறுவதற்கு உலாவிக்குச் சொல்ல HTTP தலைப்புகளைப் பயன்படுத்தும் ஒரு பொறிமுறையாகும். தீங்கிழைக்கும் தாக்குதல்களுக்கு எதிராகப் பாதுகாக்கும் அதே வேளையில், வெவ்வேறு இணைய சேவைகளுக்கிடையே மேலும் திறந்த தொடர்பை இது அனுமதிக்கிறது என்பதால், வலைப் பாதுகாப்பில் இது ஒரு முக்கியமான வளர்ச்சியாகும்.

இணைய பாதுகாப்பை CORS எவ்வாறு மேம்படுத்துகிறது: ஒரு தொழில்நுட்ப நுண்ணறிவு

CORS என்பது ஒரு பாதுகாப்பு அம்சமாகும், இது வலைத்தளத்தை விட வெவ்வேறு தோற்றங்களில் ஹோஸ்ட் செய்யப்பட்ட சேவையகங்களுக்கு கோரிக்கைகளை இணைய பயன்பாடுகளை அனுமதிக்கிறது.

CORS க்கு முன், ஒரே மூலக் கொள்கையானது வலைப் பயன்பாடுகளை தளத்தின் அதே டொமைனுக்கு மட்டுமே கோரிக்கைகளை வைப்பதைக் கட்டுப்படுத்தியது. இந்தக் கொள்கை ஒரு முக்கியமான பாதுகாப்பு நடவடிக்கையாக இருந்தாலும், தீங்கிழைக்கும் தளங்கள் முக்கியத் தரவை அணுகுவதைத் தடுக்கிறது, நவீன வலைப் பயன்பாடுகளுக்குத் தேவையான சட்டப்பூர்வமான குறுக்கு மூல தொடர்புகளையும் இது கட்டுப்படுத்துகிறது.

ஆதாரங்களை அணுகுவதற்கு எந்த மூலங்கள் அனுமதிக்கப்படுகின்றன என்பதை உலாவிக்குத் தெரிவிக்கும் குறிப்பிட்ட தலைப்புகளைச் சேர்க்க CORS சேவையகங்களை அனுமதிக்கிறது. CORS எவ்வாறு பாதுகாப்பை மேம்படுத்துகிறது என்பதற்கான அடிப்படை எடுத்துக்காட்டு:

இல் ஒரு இணைய பயன்பாடு https://example.com ஒரு கோரிக்கையை வைக்க முயற்சிக்கிறது https://api.example.org/data.
உலாவி தானாகவே CORS கோரிக்கையை அனுப்புகிறது https://api.example.org/data.
இல் சர்வர் https://api.example.org என்பதைத் தீர்மானிக்க அதன் CORS கொள்கையைச் சரிபார்க்கிறது https://example.com அனுமதிக்கப்படுகிறது.
என்றால் https://example.com அனுமதிக்கப்படுகிறது, சேவையகம் பொருத்தமான CORS தலைப்புகளுடன் பதிலளிக்கிறது Access-Control-Allow-Origin: https://example.com, வலைப் பயன்பாட்டை ஆதாரங்களை அணுக உலாவி அனுமதிக்க வேண்டும் என்பதைக் குறிக்கிறது.

CORS இல்லாமல், ஒரே மூலக் கொள்கை கோரிக்கையைத் தடுக்கும், ஆனால் CORS மூலம், நம்பகமான மூலங்களிலிருந்து குறுக்கு மூலக் கோரிக்கைகளை சேவையகம் பாதுகாப்பாக அனுமதிக்கும்.

சிம்பிள் வெர்சஸ். ப்ரீஃப்லைட் கோரிக்கைகள்: வித்தியாசத்தைப் புரிந்துகொள்வது

CORS கோரிக்கைகள் இரண்டு வகைகளாகப் பிரிக்கப்படுகின்றன: எளிய கோரிக்கைகள் மற்றும் முன்கூட்டிய கோரிக்கைகள். அவற்றுக்கிடையேயான வேறுபாடு பயன்படுத்தப்படும் முறை மற்றும் கோரிக்கையுடன் அனுப்பப்பட்ட தலைப்புகளின் அடிப்படையில் அமைந்துள்ளது.

எளிய கோரிக்கைகள்: இவை CORS ஆல் வரையறுக்கப்பட்ட சில நிபந்தனைகளை பூர்த்தி செய்யும் கோரிக்கைகள். ஒரு எளிய கோரிக்கையானது GET, POST அல்லது HEAD முறையைப் பயன்படுத்தலாம். மேலும், இது பாதுகாப்பான மற்றும் பயனர் வரையறுக்கப்படாத தலைப்புகளை மட்டுமே பயன்படுத்த வேண்டும் Accept, Accept-Language, Content-Language, மற்றும் Content-Type மதிப்புகளுடன் application/x-www-form-urlencoded, multipart/form-data, அல்லது text/plain. எளிய கோரிக்கையின் உதாரணம் இங்கே:

fetch('https://api.example.org/data', {
  method: 'GET',
  headers: {
    'Accept': 'application/json',
  }
});

முன்கூட்டிய கோரிக்கைகள்: இந்தக் கோரிக்கைகள் எளிய கோரிக்கைகளுக்கான அளவுகோல்களை பூர்த்தி செய்யவில்லை மேலும் உண்மையான கோரிக்கையை அனுப்பும் முன், OPTIONS முறையுடன் கூடிய ஆரம்ப "முன் விமானம்" கோரிக்கை தேவைப்படுகிறது. இலக்கு வளத்தின் CORS கொள்கையின் அடிப்படையில் உண்மையான கோரிக்கை அனுப்புவது பாதுகாப்பானதா என்பதை இந்த முன்னோட்டம் சரிபார்க்கிறது. GET, POST அல்லது HEAD ஐத் தவிர வேறு முறை அல்லது தனிப்பயன் தலைப்புகள் பயன்படுத்தப்படும்போது, முன்கூட்டிய கோரிக்கைகள் பயன்படுத்தப்படும். இங்கே ஒரு உதாரணம்:

fetch('https://api.example.org/data', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'X-Custom-Header': 'value'
  },
  body: JSON.stringify({key: 'value'})
});

இந்த வழக்கில், உலாவி முதலில் OPTIONS கோரிக்கையை அனுப்புகிறது https://api.example.org/data ஒரு உடன் POST கோரிக்கை உள்ளதா என்பதை தீர்மானிக்க Content-Type இன் application/json மற்றும் தனிப்பயன் தலைப்பு X-Custom-Header அனுமதிக்கப்படுகிறது.

CORS தலைப்புகள் விளக்கப்பட்டுள்ளன: அவை என்ன, அவை எவ்வாறு செயல்படுகின்றன

CORS சேவையகத்திற்கும் உலாவிக்கும் இடையே தொடர்பு கொள்ள குறிப்பிட்ட HTTP தலைப்புகளை நம்பியுள்ளது. இந்த தலைப்புகள் ஒரு உலாவியைத் தடுக்க வேண்டுமா அல்லது கோரிக்கையைத் தொடர அனுமதிக்க வேண்டுமா என்பதைத் தீர்மானிக்கிறது. முக்கிய CORS தலைப்புகள் இங்கே:

Access-Control-Allow-Origin: இந்த தலைப்பு ஆதாரத்தை அணுக எந்த தோற்றம்(கள்) அனுமதிக்கப்படுகிறது என்பதைக் குறிப்பிடுகிறது. இது போன்ற ஒரு குறிப்பிட்ட தோற்றத்திற்கு அமைக்கலாம் https://example.com, அல்லது * அனைத்து மூலங்களையும் அனுமதிக்க (பயன்படுத்தினாலும் * சான்றுகளுடன் அனுமதிக்கப்படவில்லை).
Access-Control-Allow-Methods: ஆதாரத்தை அணுகும் போது எந்த HTTP முறைகள் அனுமதிக்கப்படுகின்றன என்பதைக் குறிப்பிடுவதற்கு முன்விமான கோரிக்கைக்கு பதிலளிக்கும் வகையில் இந்த தலைப்பு பயன்படுத்தப்படுகிறது.
Access-Control-Allow-Headers: முன்னோட்டக் கோரிக்கைக்கு பதிலளிக்கும் விதமாக, இந்த தலைப்பு உண்மையான கோரிக்கையில் எந்த தலைப்புகளைப் பயன்படுத்தலாம் என்பதைக் குறிப்பிடுகிறது.
Access-Control-Expose-Headers: உலாவிகள் அணுக அனுமதிக்கப்படும் தலைப்புகளை ஏற்புப்பட்டியல் செய்ய இந்த தலைப்பு சேவையகங்களை அனுமதிக்கிறது.
Access-Control-Allow-Credentials: நற்சான்றிதழ்கள் கொடி உண்மையாக இருக்கும்போது கோரிக்கைக்கான பதிலை வெளிப்படுத்த முடியுமா இல்லையா என்பதை இந்த தலைப்பு குறிப்பிடுகிறது. அதை அமைக்க வேண்டும் true கோரிக்கையில் குக்கீகள் அல்லது அங்கீகார விவரங்கள் இருந்தால்.
Access-Control-Max-Age: முன்னோட்டக் கோரிக்கையின் முடிவுகளை எவ்வளவு நேரம் தற்காலிகமாக சேமிக்க முடியும் என்பதை இந்த தலைப்பு குறிப்பிடுகிறது.

CORS தலைப்புகளைப் புரிந்துகொண்டு சரியாகச் செயல்படுத்துவது இணையப் பயன்பாடுகளைப் பாதுகாப்பதற்கு அவசியமான குறுக்கு மூலக் கோரிக்கைகளை அனுமதிக்கும் போது அவசியம். இந்த தலைப்புகளை அமைப்பதன் மூலம், டெவலப்பர்கள் எந்த குறுக்கு மூலக் கோரிக்கைகளை அனுமதிக்கிறார்கள் என்பதைச் சரிபார்த்து, நம்பகமான ஆதாரங்கள் மட்டுமே தங்கள் வலை ஆதாரங்களை அணுக முடியும் என்பதை உறுதிசெய்யலாம்.

CORS ஐ செயல்படுத்துதல்

வெவ்வேறு மூலங்களில் உள்ள வளங்களுடன் தொடர்பு கொள்ளும் நவீன வலைப் பயன்பாடுகளுக்கு குறுக்கு மூல வள பகிர்வை (CORS) செயல்படுத்துவது அவசியம். உங்கள் பயன்பாடுகளில் CORS ஐ எவ்வாறு இயக்குவது, பொதுவான CORS பிழைகளை பிழைத்திருத்துவது மற்றும் வலை உருவாக்குநர்களுக்கான சிறந்த நடைமுறைகளை கோடிட்டுக் காட்டுவது எப்படி என்பதை இந்தப் பிரிவு ஆராய்கிறது.

உங்கள் பயன்பாடுகளில் CORS ஐ இயக்குதல்: ஒரு படி-படி-படி வழிகாட்டி

CORS ஐ இயக்குவது என்பது கோரிக்கைகளுக்கு பதிலளிக்கும் வகையில் பொருத்தமான CORS தலைப்புகளை அனுப்ப உங்கள் சேவையகத்தை உள்ளமைப்பதை உள்ளடக்குகிறது. நீங்கள் பயன்படுத்தும் சர்வர் தொழில்நுட்பத்தைப் பொறுத்து (எ.கா., Apache, Nginx, Node.js) செயல்முறை மாறுபடும். வெவ்வேறு சர்வர் சூழல்களில் CORS ஐ எவ்வாறு இயக்குவது என்பது இங்கே:

அப்பாச்சி: Apache சேவையகங்களுக்கு, பின்வரும் வழிகாட்டுதல்களைச் சேர்ப்பதன் மூலம் CORS ஐ இயக்கலாம் .htaccess கோப்பு அல்லது சேவையக கட்டமைப்பு கோப்பு:

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
    Header set Access-Control-Allow-Methods "POST, GET, OPTIONS, DELETE, PUT"
    Header set Access-Control-Allow-Headers "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With"
</IfModule>

இந்த கட்டமைப்பு அனைத்து மூலங்களையும் அனுமதிக்கிறது (*) குறிப்பிட்ட முறைகள் மற்றும் தலைப்புகளைப் பயன்படுத்தி கோரிக்கைகளைச் செய்ய. சரிசெய்யவும் Access-Control-Allow-Origin நம்பகமான மூலங்களுக்கான அணுகலைக் கட்டுப்படுத்தும் மதிப்பு.

Nginx: Nginx இல், உங்கள் சர்வர் பிளாக்கில் பின்வருவனவற்றைச் சேர்ப்பதன் மூலம் CORS ஐ இயக்கலாம்:

location / {
    if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, DELETE, PUT';
        add_header 'Access-Control-Allow-Headers' 'Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With';
        add_header 'Content-Length' '0';
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        return 204;
    }
    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, DELETE, PUT';
    add_header 'Access-Control-Allow-Headers' 'Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With';
}

Node.js (எக்ஸ்பிரஸ்): Express ஐப் பயன்படுத்தும் Node.js பயன்பாடுகளுக்கு, CORS ஐப் பயன்படுத்தி எளிதாக இயக்க முடியும் cors மிடில்வேர்:

const express = require('express');
const cors = require('cors');

const app = express();

app.use(cors({
    origin: '*', // Adjust this to your specific origin
    methods: ['GET', 'POST', 'OPTIONS', 'DELETE', 'PUT'],
    allowedHeaders: ['Content-Type', 'Access-Control-Allow-Headers', 'Authorization', 'X-Requested-With'],
}));

app.get('/data', (req, res) => {
    res.json({ message: 'This is CORS-enabled for all origins!' });
});

app.listen(3000, () => {
    console.log('Server running on port 3000');
});

பொதுவான CORS பிழைகளை பிழைத்திருத்துதல்: உதவிக்குறிப்புகள் மற்றும் தந்திரங்கள்

சேவையகத்தின் CORS கொள்கையின் காரணமாக உலாவி கோரிக்கையைத் தடுக்கும் போது பொதுவாக CORS பிழைகள் ஏற்படும். பொதுவான பிழைகளில் விடுபட்ட செய்திகள் அடங்கும் Access-Control-Allow-Origin தலைப்புகள் அல்லது முறைகள் அனுமதிக்கப்படவில்லை. இந்த பிழைகளை பிழைத்திருத்தம் செய்ய:

உலாவி DevTools ஐப் பயன்படுத்தவும்: நவீன உலாவிகள் கன்சோலில் விரிவான பிழை செய்திகளை வழங்குகின்றன. இந்தச் செய்திகள் அடிக்கடி எதைக் காணவில்லை அல்லது தவறாக உள்ளமைக்கப்பட்டுள்ளன என்பதைக் குறிப்பிடுகின்றன.
சேவையக உள்ளமைவை சரிபார்க்கவும்: தேவையான CORS தலைப்புகளை அனுப்ப உங்கள் சர்வர் சரியாக உள்ளமைக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்தவும். விடுபட்ட தலைப்புகள் அல்லது தவறான மதிப்புகள் பொதுவான சிக்கல்கள்.
கருவிகள் மூலம் சோதிக்கவும்: போஸ்ட்மேன் அல்லது கர்ல் போன்ற கருவிகள் வெவ்வேறு மூலங்களிலிருந்து வரும் கோரிக்கைகளை உருவகப்படுத்தி, சரியான CORS தலைப்புகளுடன் சேவையகம் பதிலளிக்கிறதா என்பதைக் கண்டறிய உதவும்.
CORS கொள்கையை மதிப்பாய்வு செய்யவும்: சர்வரில் உள்ள உங்கள் CORS கொள்கை உங்கள் இணைய பயன்பாட்டின் தேவைகளுடன் பொருந்துகிறது என்பதை உறுதிப்படுத்தவும். எடுத்துக்காட்டாக, உங்கள் விண்ணப்பம் நற்சான்றிதழ்களை (குக்கீகள், HTTP அங்கீகரிப்பு) அனுப்ப வேண்டுமெனில், உறுதிசெய்யவும் Access-Control-Allow-Credentials என அமைக்கப்பட்டுள்ளது true மற்றும் Access-Control-Allow-Origin அமைக்கப்படவில்லை *.

CORS உள்ளமைவு வலை உருவாக்குநர்களுக்கான சிறந்த நடைமுறைகள்

CORS ஐப் பாதுகாப்பாகவும் திறமையாகவும் செயல்படுத்த சிறந்த நடைமுறைகளைக் கடைப்பிடிப்பது அவசியம்:

சரியான மூலங்களைக் குறிப்பிடவும்: பயன்படுத்துவதற்கு பதிலாக * க்கான Access-Control-Allow-Origin, உங்கள் ஆதாரங்களை அணுக அனுமதிக்கப்பட வேண்டிய சரியான மூலங்களைக் குறிப்பிடவும். இது தேவையற்ற குறுக்கு மூலக் கோரிக்கைகளுக்கு வெளிப்படுவதைக் கட்டுப்படுத்துகிறது.
நற்சான்றிதழ்களை கவனமாகப் பயன்படுத்தவும்: உங்கள் விண்ணப்பம் நற்சான்றிதழ்களைப் பயன்படுத்தினால், உறுதிப்படுத்தவும் Access-Control-Allow-Credentials என அமைக்கப்பட்டுள்ளது true, மற்றும் அதற்கு பதிலாக சரியான தோற்றம் குறிப்பிடவும் *. நற்சான்றிதழ்களில் குக்கீகள், HTTP அங்கீகாரம் மற்றும் கிளையன்ட் பக்க SSL சான்றிதழ்கள் ஆகியவை அடங்கும் என்பதை நினைவில் கொள்ளுங்கள்.
வெளிப்படும் தலைப்புகளை வரம்பிடவும்: தேவையான தலைப்புகளை மட்டும் இதன் மூலம் வெளிப்படுத்தவும் Access-Control-Expose-Headers. பல தலைப்புகளை வெளிப்படுத்துவது கவனக்குறைவாக முக்கியமான தகவல்களை கசியவிடலாம்.
ப்ரீஃப்லைட் கேச் கால அளவை சரிபார்க்கவும்: பயன்படுத்தவும் Access-Control-Max-Age ப்ரீஃப்லைட் பதில்களை கேச் செய்ய, ப்ரீஃப்லைட் கோரிக்கைகளின் எண்ணிக்கையைக் குறைக்கிறது. இருப்பினும், உங்கள் CORS கொள்கை எவ்வளவு அடிக்கடி மாறக்கூடும் என்பதை உறுதிப்படுத்தவும்.
டைனமிக் CORS கொள்கைகளை செயல்படுத்தவும்: மிகவும் சிக்கலான பயன்பாடுகளுக்கு, சரிசெய்யும் டைனமிக் CORS கொள்கைகளைச் செயல்படுத்துவதைக் கவனியுங்கள் Access-Control-Allow-Origin கோரிக்கையின் தோற்றத்தின் அடிப்படையில். இதை சர்வரில் நிரல் முறையில் செய்ய முடியும்.
CORS கொள்கைகளை தவறாமல் மதிப்பாய்வு செய்யவும்: உங்கள் வலைப் பயன்பாடு உருவாகும்போது, உங்கள் பாதுகாப்பு மற்றும் செயல்பாட்டுத் தேவைகளை இன்னும் பூர்த்தி செய்வதை உறுதிசெய்ய, உங்கள் CORS கொள்கைகளை தொடர்ந்து மதிப்பாய்வு செய்து புதுப்பிக்கவும்.

இந்த வழிகாட்டுதல்களைப் பின்பற்றி, CORS ஐ எவ்வாறு உள்ளமைப்பது மற்றும் பிழைத்திருத்தம் செய்வது என்பதைப் புரிந்துகொள்வதன் மூலம், டெவலப்பர்கள் தங்கள் வலைப் பயன்பாடுகளைப் பாதுகாப்பாகவும், திறம்படவும் மூலங்கள் முழுவதும் தொடர்புகொள்வதை உறுதிசெய்ய முடியும்.

CORS செயல்பாட்டில் உள்ளது

கிராஸ்-ஆரிஜின் ரிசோர்ஸ் ஷேரிங் (CORS) செயல்படுத்துவது ஒரு அம்சத்தை இயக்குவது மட்டுமல்ல; நவீன வலை பயன்பாடுகளின் சூழலில் இது எவ்வாறு செயல்படுகிறது என்பதைப் புரிந்துகொள்வது. இந்த பிரிவு CORS இன் நிஜ உலக எடுத்துக்காட்டுகள், CORS கொள்கைகளை நிர்வகித்தல் மற்றும் திறம்பட செயல்படுத்துவதற்கான கருவிகள் மற்றும் நுட்பங்களை ஆராய்கிறது.

CORS இன் நிஜ உலக எடுத்துக்காட்டுகள்: கோட்பாடு முதல் நடைமுறை வரை

CORS என்பது வலை மேம்பாட்டின் ஒரு அடிப்படை பகுதியாகும், இது வெவ்வேறு தோற்றங்களில் ஆதாரங்களை பாதுகாப்பாகக் கோர அனுமதிக்கிறது. CORS முக்கியப் பங்கு வகிக்கும் சில நிஜ உலகக் காட்சிகள் இங்கே:

ஒற்றைப் பக்க பயன்பாடுகளில் (SPAs) API நுகர்வு: SPAக்கள் பெரும்பாலும் வெவ்வேறு டொமைன்களில் ஹோஸ்ட் செய்யப்பட்ட APIகளை பயன்படுத்துகின்றன. உதாரணமாக, ஒரு ரியாக்ட் அப்ளிகேஷன் வழங்கப்பட்டது https://myapp.com இதிலிருந்து பயனர் தரவைப் பெற வேண்டியிருக்கலாம் https://api.userdata.com. CORS இல்லாமல், இந்த குறுக்கு மூலக் கோரிக்கை உலாவியால் தடுக்கப்படும். பொருத்தமான CORS தலைப்புகளை அமைப்பதன் மூலம் (Access-Control-Allow-Origin: https://myapp.com) API சேவையகத்தில், SPA தேவையான தரவைப் பாதுகாப்பாகக் கோரலாம்.

// Example fetch request in an SPA
fetch("https://api.userdata.com/user", {
  method: "GET",
  headers: {
    "Content-Type": "application/json",
  },
})
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error('Error fetching user data:', error));

உள்ளடக்க விநியோக நெட்வொர்க்குகள் (CDNகள்): CDNகள் உலகெங்கிலும் உள்ள பல்வேறு இடங்களிலிருந்து நிலையான சொத்துக்களை (படங்கள், ஸ்கிரிப்டுகள், நடைத்தாள்கள்) வழங்குகின்றன. உங்கள் வலைப் பயன்பாடு ஹோஸ்ட் செய்யும்போது https://example.com இலிருந்து ஒரு படத்தைக் கோருகிறது https://cdn.example.com, நிலையான சொத்துகளுக்கான இந்த குறுக்கு மூலக் கோரிக்கைகள் பாதுகாப்பாகக் கையாளப்படுவதை CORS உறுதி செய்கிறது.
மூன்றாம் தரப்பு விட்ஜெட்டுகள் மற்றும் ஒருங்கிணைப்புகள்: வலைத்தளங்கள் பெரும்பாலும் மூன்றாம் தரப்பு விட்ஜெட்களை ஒருங்கிணைக்கின்றன (எ.கா., சாட்போட்கள், சமூக ஊடக ஊட்டங்கள்) அவை வெளிப்புற சேவையகங்களிலிருந்து ஆதாரங்களை அணுக வேண்டும். CORS ஆனது, இந்த விட்ஜெட்களை வெவ்வேறு தோற்றங்களில் தடையின்றி செயல்படச் செய்கிறது, இது பாதுகாப்பை சமரசம் செய்யாமல் பயனர் அனுபவத்தை மேம்படுத்துகிறது.

CORS கொள்கைகளை நிர்வகித்தல்: திறம்பட செயல்படுத்துவதற்கான கருவிகள் மற்றும் நுட்பங்கள்

CORS கொள்கைகளை திறம்பட நிர்வகிப்பதற்கு உங்கள் வசம் உள்ள கருவிகள் மற்றும் நுட்பங்களைப் புரிந்து கொள்ள வேண்டும்:

சேவையக கட்டமைப்பு: CORS கொள்கைகளை நிர்வகிப்பதற்கான முதல் படி உங்கள் இணைய சேவையகத்தை உள்ளமைப்பதாகும். உங்கள் பயன்பாட்டின் தேவைகளின் அடிப்படையில் தேவையான CORS தலைப்புகளை அமைப்பது இதில் அடங்கும். பெரும்பாலான இணைய சேவையகங்கள் (Apache, Nginx, IIS) இந்த தலைப்புகளை அவற்றின் உள்ளமைவு கோப்புகளில் அல்லது .htaccess (Apache க்கு) மூலம் குறிப்பிட உங்களை அனுமதிக்கின்றன.
வலை கட்டமைப்புகளுக்கான மிடில்வேர்: நீங்கள் வலை கட்டமைப்பைப் பயன்படுத்துகிறீர்கள் என்றால் (Node.js க்கான Express.js, Python க்கு Django), CORS கொள்கை நிர்வாகத்தை எளிமையாக்கும் மிடில்வேர் தொகுப்புகளை பலர் வழங்குகிறார்கள். உதாரணமாக, தி cors எக்ஸ்பிரஸிற்கான தொகுப்பு, உங்கள் பயன்பாட்டுக் குறியீட்டில் நேரடியாக CORS கொள்கைகளை வரையறுக்க உங்களை அனுமதிக்கிறது.

// Example using the cors middleware in an Express.js application
const cors = require('cors');
const express = require('express');
const app = express();

// Define CORS options
const corsOptions = {
  origin: 'https://example.com',
  optionsSuccessStatus: 200,
};

app.use(cors(corsOptions));

app.get('/data', (req, res) => {
  res.json({ message: 'CORS-enabled route' });
});

app.listen(3000, () => console.log('Server running on port 3000'));

டைனமிக் CORS கையாளுதல்: பல நம்பகமான மூலங்களிலிருந்து கோரிக்கைகளை அனுமதிக்க வேண்டிய பயன்பாடுகளுக்கு, டைனமிக் CORS கையாளுதலைச் செயல்படுத்தலாம். இது நிரல் ரீதியாக அமைப்பதை உள்ளடக்கியது Access-Control-Allow-Origin உள்வரும் கோரிக்கையின் தோற்றத்தின் அடிப்படையில் தலைப்பு.

// Example of dynamic CORS handling
app.use((req, res, next) => {
  const allowedOrigins = ['https://example.com', 'https://api.example.com'];
  const origin = req.headers.origin;
  if (allowedOrigins.includes(origin)) {
    res.setHeader('Access-Control-Allow-Origin', origin);
  }
  next();
});

CORS கொள்கைகளை சோதனை மற்றும் பிழைத்திருத்தத்திற்கான கருவிகள்

உலாவி டெவலப்பர் கருவிகள்: உலாவி டெவலப்பர் கருவிகளில் உள்ள பிணைய தாவல் CORS பிழைகளை ஆய்வு செய்வதற்கும் CORS தலைப்புகள் நிகழ்நேரத்தில் எவ்வாறு அனுப்பப்படுகின்றன மற்றும் பெறப்படுகின்றன என்பதைப் புரிந்துகொள்வதற்கும் விலைமதிப்பற்றது.
ஆன்லைன் கருவிகள்: போன்ற கருவிகள் CORS சோதனையாளர் மற்றும் தபால்காரர் வெவ்வேறு மூலங்களிலிருந்து உங்கள் சேவையகத்திற்கு கோரிக்கைகளை அனுப்புவதன் மூலமும் பதிலைச் சரிபார்ப்பதன் மூலமும் CORS கொள்கைகளைச் சோதிக்க உங்களை அனுமதிக்கிறது.
கட்டளை வரி கருவிகள்: curl கட்டளை வரியில் இருந்து CORS கொள்கைகளை சோதிக்க ஒரு சக்திவாய்ந்த கருவியாகும். வெவ்வேறு மூலங்களிலிருந்து வரும் கோரிக்கைகளை உருவகப்படுத்தவும், சேவையகத்தின் பதிலில் உள்ள CORS தலைப்புகளை ஆய்வு செய்யவும் இது பயன்படுத்தப்படலாம்.

# Example curl command to test CORS
curl -H "Origin: https://example.com" \
     -I https://api.example.com/data

இந்த நிஜ-உலகப் பயன்பாடுகள் மற்றும் மேலாண்மை உத்திகளைப் புரிந்துகொள்வதன் மூலம், டெவலப்பர்கள் தங்கள் வலைப் பயன்பாடுகள் மூலங்கள் முழுவதிலும் உள்ள ஆதாரங்களுடன் பாதுகாப்பாக தொடர்புகொள்வதை உறுதிசெய்து, CORS ஐ அதன் முழுத் திறனுடன் மேம்படுத்தலாம்.

SPA களில் கிராஸ்-ஆரிஜின் API கோரிக்கைகளை இயக்குவது, CDNகள் மூலம் சொத்துக்களை வழங்குவது அல்லது மூன்றாம் தரப்பு விட்ஜெட்களை ஒருங்கிணைப்பது என எதுவாக இருந்தாலும் சரி, CORS என்பது நவீன இணைய சூழலின் இன்றியமையாத பகுதியாகும், இது சரியாக நிர்வகிக்கப்படும் போது, பாதுகாப்பு மற்றும் செயல்பாடு இரண்டையும் வழங்குகிறது.

CORS இன் பாதுகாப்பு தாக்கங்கள்

கிராஸ்-ஆரிஜின் ரிசோர்ஸ் ஷேரிங் (சிஓஆர்எஸ்) செயல்படுத்துவது இணையப் பயன்பாடுகளுக்கு குறிப்பிடத்தக்க பாதுகாப்பு தாக்கங்களைக் கொண்டுள்ளது. CORS ஆனது வலைப் பயன்பாடுகளை வெவ்வேறு தோற்றங்களில் இருந்து ஆதாரங்களைக் கோரும் போது, அது சரியாக உள்ளமைக்கப்படாவிட்டால் சாத்தியமான பாதிப்புகளையும் அறிமுகப்படுத்துகிறது.

இந்த பிரிவு CORS இன் பாதுகாப்பு அம்சங்களை ஆராய்கிறது, கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS) தாக்குதல்களின் தணிப்பு மற்றும் கடுமையான CORS கொள்கைகளின் முக்கியத்துவத்தை எடுத்துக்காட்டுகிறது.

CORS மற்றும் இணைய பாதுகாப்பு: குறுக்கு-தள ஸ்கிரிப்டிங் (XSS) தாக்குதல்களைத் தணித்தல்

கிராஸ்-சைட் ஸ்கிரிப்டிங் (எக்ஸ்எஸ்எஸ்) தாக்குதல்கள் தீங்கிழைக்கும் ஸ்கிரிப்ட்களை மற்றபடி தீங்கற்ற மற்றும் நம்பகமான இணையதளங்களில் இருந்து உள்ளடக்கத்தில் புகுத்த அனுமதிக்கின்றன.

சரியான சரிபார்ப்பு இல்லாமல் அல்லது தப்பிக்காமல், ஒரு வலைப்பக்கத்தில் நம்பத்தகாத தரவை ஒரு பயன்பாட்டில் சேர்க்கும்போது, பாதிக்கப்பட்டவரின் உலாவி சூழலில் தாக்குபவர்கள் ஸ்கிரிப்ட்களை இயக்குவதற்கு இந்த தாக்குதல்கள் நிகழ்கின்றன. உங்கள் இணைய பயன்பாட்டுடன் தொடர்பு கொள்ள அனுமதிக்கப்படும் மூலங்களைக் கட்டுப்படுத்துவதன் மூலம் XSS தாக்குதல்களைத் தணிப்பதில் CORS முக்கியமானது.

தீங்கிழைக்கும் ஸ்கிரிப்ட்களை உள்ளடக்கிய பயனர் உருவாக்கிய உள்ளடக்கத்தை பயன்பாடு அனுமதிக்கும் சூழ்நிலையைக் கவனியுங்கள்.

சரியான உள்ளடக்க சுத்திகரிப்பு மற்றும் கடுமையான CORS கொள்கை இல்லாமல், இந்தப் பயன்பாடு XSS தாக்குதல்களுக்கான திசையனாக மாறக்கூடும். CORS ஆனது XSSஐ நேரடியாகத் தடுக்காது, ஆனால் குறிப்பிட்ட தோற்றம் மட்டுமே உங்கள் பயன்பாட்டிற்கு கோரிக்கைகளை வைக்க முடியும் என்பதை உறுதிசெய்து, தாக்குதல் மேற்பரப்பைக் குறைப்பதன் மூலம் பரந்த பாதுகாப்பு உத்திக்கு பங்களிக்கிறது.

உதாரணமாக, உங்கள் விண்ணப்பத்தை வைத்துக்கொள்ளுங்கள் https://safe-app.com ஹோஸ்ட் செய்யப்பட்ட API ஐப் பயன்படுத்துகிறது https://api.safe-app.com. அமைப்பதன் மூலம் Access-Control-Allow-Origin தலைப்பு https://safe-app.com, உங்கள் பயன்பாட்டிலிருந்து வரும் கோரிக்கைகள் மட்டுமே API ஐ அணுக முடியும் என்பதை உறுதிசெய்கிறீர்கள். உங்கள் API உடனான தொடர்புகளை நம்பகமான தோற்றத்திற்கு வரம்பிடுவதன் மூலம் சாத்தியமான XSS தாக்குதல்களைத் தணிக்க இந்தக் கட்டுப்பாடு உதவுகிறது.

Access-Control-Allow-Origin: https://safe-app.com

இருப்பினும், XSS மற்றும் பிற வகையான தாக்குதல்களைத் திறம்படத் தணிக்க, பயனர் உள்ளீட்டைச் சரிபார்த்தல் மற்றும் சுத்தப்படுத்துதல் போன்ற பிற பாதுகாப்பு நடைமுறைகளுடன் CORS கொள்கைகளை இணைப்பது மிகவும் முக்கியமானது.

கடுமையான CORS கொள்கைகளின் முக்கியத்துவம்: உங்கள் இணைய பயன்பாடுகளைப் பாதுகாத்தல்

பல்வேறு பாதுகாப்பு அச்சுறுத்தல்களில் இருந்து உங்கள் இணையப் பயன்பாடுகளைப் பாதுகாப்பதற்கு கடுமையான CORS கொள்கைகளைச் செயல்படுத்துவது இன்றியமையாதது. அமைப்பு போன்ற தளர்வான CORS கொள்கை Access-Control-Allow-Origin செய்ய *, உங்கள் சேவையகத்திற்கு கோரிக்கைகளை வைக்க எந்தவொரு மூலத்தையும் அனுமதிப்பதன் மூலம் தரவு திருட்டு, CSRF தாக்குதல்கள் மற்றும் பிற பாதிப்புகளுக்கு உங்கள் விண்ணப்பத்தை வெளிப்படுத்தலாம்.

ஒரு கண்டிப்பான CORS கொள்கை எந்த தோற்றம், முறைகள் மற்றும் தலைப்புகள் அனுமதிக்கப்படுகின்றன என்பதைக் குறிப்பிடுகிறது. நம்பகமான வலைப் பயன்பாடுகள் மட்டுமே உங்கள் ஆதாரங்களுடன் தொடர்பு கொள்ள முடியும் என்பதை இந்த விவரக்குறிப்பு உறுதிசெய்கிறது, இது முக்கியமான தரவு மற்றும் பயன்பாட்டு ஒருமைப்பாட்டைப் பாதுகாக்க உதவும் பாதுகாப்பின் அடுக்கை வழங்குகிறது.

உதாரணமாக, ஒரு குறிப்பிட்ட டொமைனிலிருந்து அணுகலை அனுமதிக்கும் மற்றும் நற்சான்றிதழ்களைப் பயன்படுத்தும் பயன்பாட்டைக் கவனியுங்கள் (குக்கீகள், HTTP அங்கீகாரம்):

Access-Control-Allow-Origin: https://trusted-domain.com
Access-Control-Allow-Credentials: true

இந்த அமைப்பு அனுமதிக்கிறது https://trusted-domain.com உங்கள் விண்ணப்பத்திற்கான நற்சான்றிதழ்களுடன் கோரிக்கைகளைச் செய்ய, பிற மூலங்களிலிருந்து கோரிக்கைகள் நிராகரிக்கப்படுகின்றன. முக்கியமான தகவலைக் கையாளும் அல்லது பயனரின் சார்பாக செயல்களைச் செய்யும் பயன்பாடுகளுக்கு இந்தக் கட்டுப்பாடு முக்கியமானது.

மேலும், அனுமதிக்கப்பட்ட முறைகள் மற்றும் தலைப்புகளைக் குறிப்பிடுவது பாதுகாப்பை மேலும் இறுக்கமாக்குகிறது:

Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: Content-Type, X-Custom-Header

இந்த அமைவு குறிப்பிடப்பட்ட தலைப்புகளுடன் கூடிய GET மற்றும் POST கோரிக்கைகள் மட்டுமே ஏற்றுக்கொள்ளப்படுவதை உறுதிசெய்கிறது, இது அங்கீகரிக்கப்படாத அல்லது தீங்கிழைக்கும் கோரிக்கைகளின் அபாயத்தைக் குறைக்கிறது.

பாதுகாப்பான CORS அமலாக்கத்திற்கான சிறந்த நடைமுறைகள்

அனுமதிக்கப்பட்ட மூலங்களைக் குறிப்பிடவும்: வைல்டு கார்டைப் பயன்படுத்துவதை விட, குறிப்பிட்ட மூலங்களை எப்போதும் வரையறுக்கவும் *. நம்பகமான டொமைன்கள் மட்டுமே உங்கள் விண்ணப்பத்திற்கு கோரிக்கைகளை வைக்க முடியும் என்பதை இந்த நடைமுறை உறுதி செய்கிறது.
நற்சான்றிதழ்களுடன் அணுகலை வரம்பிடவும்: நற்சான்றிதழ்களை அனுமதிக்கும் போது கவனமாக இருங்கள். என்பதை உறுதி செய்யவும் Access-Control-Allow-Credentials என அமைக்கப்பட்டுள்ளது true தேவைப்படும் போது மட்டுமே மற்றும் அந்த தோற்றம் வெளிப்படையாக வரையறுக்கப்படுகிறது.
அனுமதிக்கப்பட்ட முறைகள் மற்றும் தலைப்புகளை வரையறுக்கவும்: எந்த முறைகள் மற்றும் தலைப்புகள் அனுமதிக்கப்படுகின்றன என்பதைக் குறிப்பிடவும். இந்த கட்டுப்பாடு பாதுகாப்பை கடுமையாக்குவது மட்டுமல்லாமல் உங்கள் API உடன் தொடர்பு கொள்ளும் டெவலப்பர்களுக்கு தெளிவான ஆவணங்களையும் வழங்குகிறது.
ப்ரீஃப்லைட் கோரிக்கைகளைப் பயன்படுத்தவும்: ப்ரீஃப்லைட் கோரிக்கைகளை ஏற்றுக்கொள்வதற்கு முன், கிராஸ்-ஆரிஜின் கோரிக்கைகளை சரிபார்க்க அவற்றைப் பயன்படுத்திக் கொள்ளுங்கள். ப்ரீஃப்லைட் கோரிக்கைகள் கூடுதல் சரிபார்ப்பைச் சேர்க்கின்றன, உண்மையான கோரிக்கை உங்கள் CORS கொள்கைக்கு இணங்குவதை உறுதிசெய்கிறது.
CORS கொள்கைகளை தவறாமல் மதிப்பாய்வு செய்யவும்: உங்கள் பயன்பாடு உருவாகும்போது, உங்கள் பயன்பாட்டின் கட்டமைப்பு மற்றும் டொமைன் தொடர்புகளில் ஏற்படும் மாற்றங்களைப் பிரதிபலிக்க, உங்கள் CORS கொள்கைகளை தவறாமல் மதிப்பாய்வு செய்து புதுப்பிக்கவும்.
மற்ற பாதுகாப்பு நடவடிக்கைகளுடன் CORS ஐ இணைக்கவும்: CORS ஒரு விரிவான பாதுகாப்பு உத்தியின் ஒரு பகுதியாக இருக்க வேண்டும். CORS கொள்கைகளை உள்ளடக்க பாதுகாப்பு கொள்கைகளுடன் (CSP), உள்ளீடு சரிபார்ப்பு, வெளியீட்டு குறியாக்கம் மற்றும் XSS மற்றும் பிற இணைய பாதிப்புகளுக்கு எதிராக பாதுகாக்க மற்ற பாதுகாப்பு சிறந்த நடைமுறைகளை இணைக்கவும்.

CORS இன் பாதுகாப்புத் தாக்கங்களைப் புரிந்துகொள்வதன் மூலமும், கடுமையான CORS கொள்கைகளைச் செயல்படுத்துவதன் மூலமும், டெவலப்பர்கள் தங்கள் வலைப் பயன்பாடுகளை குறுக்கு-ஆரிஜின் தாக்குதல்களுக்கு எதிராகப் பாதுகாக்க முடியும், அதே நேரத்தில் நவீன வலைப் பயன்பாடுகளுக்குத் தேவையான குறுக்கு-ஆரிஜின் தொடர்புகளை செயல்படுத்தலாம்.

மேம்பட்ட CORS தலைப்புகள்

வலைப் பயன்பாடுகள் சிக்கலானதாக வளரும்போது, குறுக்கு-ஆரிஜின் ரிசோர்ஸ் ஷேரிங் (CORS) நுணுக்கங்களைப் புரிந்துகொள்வது பெருகிய முறையில் முக்கியமானது. இந்தப் பிரிவு CORS மற்றும் API பாதுகாப்பு உள்ளிட்ட மேம்பட்ட CORS தலைப்புகளை அடிப்படை உள்ளமைவுகளுக்கு அப்பால் ஆராய்கிறது, மேலும் பொதுவான சிக்கல்களைச் சரிசெய்தல்.

CORS மற்றும் API பாதுகாப்பு: பாதுகாப்பான கிராஸ்-ஆரிஜின் கோரிக்கைகளை உறுதி செய்தல்

APIகள் நவீன இணையப் பயன்பாடுகளின் முதுகெலும்பாக உள்ளன, பல்வேறு சேவைகளில் தரவு பரிமாற்றம் மற்றும் செயல்பாட்டை எளிதாக்குகின்றன. அங்கீகரிக்கப்பட்ட மூலங்கள் மட்டுமே உங்கள் API ஐ அணுக முடியும் என்பதை உறுதி செய்வதன் மூலம் API பாதுகாப்பில் CORS முக்கிய பங்கு வகிக்கிறது. CORS API பாதுகாப்பை எவ்வாறு மேம்படுத்துகிறது என்பது இங்கே:

டோக்கன் அடிப்படையிலான அங்கீகாரம்: பல APIகள் அணுகலைப் பாதுகாக்க டோக்கன் அடிப்படையிலான அங்கீகாரத்தைப் பயன்படுத்துகின்றன (எ.கா., OAuth 2.0, JWT). டோக்கன் தலைப்புகளை அனுமதிக்க CORS கொள்கைகள் கவனமாக உள்ளமைக்கப்பட வேண்டும் Authorization, நம்பகமான தோற்றத்தில் இருந்து. உதாரணமாக, அனுமதிக்க Authorization குறுக்கு மூல கோரிக்கைகளில் உள்ள தலைப்புகள், உங்கள் சர்வர் அதை வெளிப்படையாக பட்டியலிட வேண்டும் Access-Control-Allow-Headers.

Access-Control-Allow-Headers: Authorization

மூன்றாம் தரப்பு API நுகர்வு: உங்கள் இணையப் பயன்பாடு மூன்றாம் தரப்பு APIகளைப் பயன்படுத்தும் போது, இந்த APIகளின் CORS கொள்கைகளைப் புரிந்துகொள்வது மிகவும் முக்கியமானது. மூன்றாம் தரப்பு API ஆனது கட்டுப்படுத்தப்பட்ட CORS கொள்கையைக் கொண்டிருந்தால், API க்கு கோரிக்கைகளை அனுப்ப உங்கள் டொமைனில் சர்வர் பக்க ப்ராக்ஸியைப் பயன்படுத்த வேண்டியிருக்கும், இதன் மூலம் CORS கட்டுப்பாடுகளைத் தவிர்க்கலாம்.
தனிப்பயன் தலைப்புகளை வெளிப்படுத்துதல்: ஆப்ஸ் சார்ந்த தகவலுக்கு உங்கள் API தனிப்பயன் தலைப்புகளைப் பயன்படுத்தினால், இந்த தலைப்புகள் கிளையன்ட் மூலம் வெளிப்படையாக வெளிப்படுத்தப்பட வேண்டும் Access-Control-Expose-Headers. இது கிளையன்ட் பக்க பயன்பாட்டை இந்த தலைப்புகளின் மதிப்புகளைப் படிக்க அனுமதிக்கிறது.

Access-Control-Expose-Headers: X-My-Custom-Header

அடிப்படை CORS க்கு அப்பால்: மேம்பட்ட கட்டமைப்பு மற்றும் சரிசெய்தல்

மேம்பட்ட CORS உள்ளமைவுகள் மிகவும் சிக்கலான காட்சிகளைக் கையாளலாம்:

டைனமிக் ஆரிஜின் சரிபார்ப்பு: டைனமிக் ஆரிஜின்களில் இருந்து கோரிக்கைகளை அனுமதிக்க வேண்டிய பயன்பாடுகளுக்கு (எ.கா., ஒவ்வொரு குத்தகைதாரரும் அதன் சொந்த டொமைனைக் கொண்டிருக்கும் பல-குத்தகைதாரர் பயன்பாடுகள்), டைனமிக் ஆரிஜின் சரிபார்ப்பை செயல்படுத்துவது அவசியம். இது நிரல் ரீதியாக சரிபார்க்கிறது Origin அனுமதிக்கப்பட்ட தோற்றங்களின் பட்டியலுக்கு எதிராக தலைப்பு மற்றும் அமைவு Access-Control-Allow-Origin அதன்படி தலைப்பு.

const allowedOrigins = ['https://tenant1.example.com', 'https://tenant2.example.com'];
const origin = request.headers.origin;
if (allowedOrigins.includes(origin)) {
    response.setHeader('Access-Control-Allow-Origin', origin);
}

WebSockets க்கான CORS: HTTP கோரிக்கைகளைப் போலவே WebSockets CORS க்கு உட்பட்டது அல்ல என்றாலும், WebSocket இணைப்புகளைப் பாதுகாப்பது மிகவும் முக்கியமானது. ஆரம்ப WebSocket ஹேண்ட்ஷேக் கோரிக்கையில் (இது ஒரு HTTP கோரிக்கை) சரியான CORS சரிபார்ப்பை உள்ளடக்கியிருப்பதை உறுதி செய்வது ஒரு நல்ல நடைமுறையாகும்.
ப்ரீஃப்லைட் கேச் ஆப்டிமைசேஷன்: தி Access-Control-Max-Age ப்ரீஃப்லைட் கோரிக்கையின் முடிவுகளை எவ்வளவு நேரம் தற்காலிகமாக சேமிக்க முடியும் என்பதைக் குறிப்பிட ஹெடர் பயன்படுத்தப்படலாம். உங்கள் CORS கொள்கை மாற்றங்களின் அடிப்படையில் இந்த மதிப்பை மேம்படுத்துவது, ப்ரீஃப்லைட் கோரிக்கைகளின் எண்ணிக்கையைக் குறைக்கலாம், பயன்பாட்டின் செயல்திறனை மேம்படுத்தலாம்.

Access-Control-Max-Age: 86400

பொதுவான CORS சிக்கல்களைச் சரிசெய்தல்

சரியான CORS அமைப்புடன் கூட, சிக்கல்கள் எழலாம். பொதுவான CORS பிரச்சனைகளை சரிசெய்வதற்கான உத்திகள் இங்கே:

CORS தலைப்புகள் விடுபட்டுள்ளன அல்லது தவறானவை: எதிர்பார்க்கப்படும் CORS தலைப்புகளை அனுப்ப உங்கள் சேவையகம் சரியாக உள்ளமைக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்தவும். போன்ற கருவிகள் curl தலைப்புகளை கைமுறையாக ஆய்வு செய்ய பயன்படுத்தலாம்:

curl -I -H "Origin: https://example.com" https://api.example.com/resource

JavaScript Fetch API இல் ஒளிபுகா பதில்கள்: Fetch API மூலம் கோரிக்கைகளைச் செய்யும்போது, ஒரு ஒளிபுகா பதில் (நோ-கார்ஸ் கோரிக்கையின் பதில்) சிக்கல்களுக்கு வழிவகுக்கும், ஏனெனில் இது பதிலைப் பற்றி நீங்கள் அணுகக்கூடிய தகவலைக் கட்டுப்படுத்துகிறது. நீங்கள் அமைக்கவில்லை என்பதை உறுதிப்படுத்தவும் mode: 'no-cors' உங்கள் Fetch API கோரிக்கைகளில் முற்றிலும் தேவைப்படாவிட்டால்.
நற்சான்றிதழ்களுடன் CORS பிழைகள்: உங்கள் கோரிக்கைகளில் நற்சான்றிதழ்கள் (குக்கீகள், HTTP அங்கீகாரம்) இருந்தால், உறுதிப்படுத்தவும் Access-Control-Allow-Credentials என அமைக்கப்பட்டுள்ளது true, மற்றும் அந்த Access-Control-Allow-Origin வைல்டு கார்டு அல்ல (*).
ப்ரீஃப்லைட் கோரிக்கைகளை பிழைத்திருத்தம்: ப்ரீஃப்லைட் கோரிக்கைகள் தோல்வியடைந்தால், உங்கள் சர்வர் கையாளுகிறது என்பதைச் சரிபார்க்கவும் OPTIONS சரியாகக் கோருகிறது மற்றும் அது பொருத்தமான CORS தலைப்புகளுடன் பதிலளிக்கிறது (Access-Control-Allow-Methods, Access-Control-Allow-Headers).

இந்த மேம்பட்ட CORS தலைப்புகளில் மூழ்கி, டெவலப்பர்கள் தங்கள் இணையப் பயன்பாடுகளை கிராஸ்-ஆரிஜின் ஆதாரப் பகிர்வுக்கு எவ்வாறு பாதுகாப்பது மற்றும் மேம்படுத்துவது என்பதை நன்கு புரிந்து கொள்ள முடியும். API பாதுகாப்பு, சிக்கலான CORS உள்ளமைவுகள் அல்லது சவாலான CORS சிக்கல்களைச் சரிசெய்தல், CORS பற்றிய ஆழமான புரிதல் நவீன வலை வளர்ச்சிக்கு அவசியம்.

முடிவுரை

பாதுகாப்பான இணைய தொடர்புகளுக்கு CORS ஐப் புரிந்துகொள்வது அவசியம்; அதைச் சரியாகச் செயல்படுத்துவது மீறல்களுக்கு எதிரான பயன்பாடுகளை வலுப்படுத்துகிறது, அதன் கடுமையான கொள்கை XSS தாக்குதல்களுக்கு எதிராக பாதுகாக்கிறது, மேலும் மேம்பட்ட தலைப்புகளை ஆராய்வது வலை வளர்ச்சியை மேம்படுத்துகிறது.

கிராஸ்-ஆரிஜின் வள பகிர்வு என்றால் என்ன?