Кроссдоменные запросы (CORS)

Комментарии (13)

2019-08-02 20:10

Полезное видео.

Алексей Тимков

2019-09-06 08:44

просто прекрасный материал. Очень доступно и ничего лишнего

fedot

2020-04-19 17:59

Спасибо, JSONP жаль не рассмотрен.

Артем

2020-12-30 20:35

Фантастика! Сколько полезной информации. Тема кроссдоменных запросов мне съела столько времени и нервов в своё время, что теперь я всякий раз отказываюсь от этого. Теперь не буду. На счёт Access-Control-Allow-Credentials, Google Chrome с марта 2020 по умолчанию запрещает передачу куков на чужие хосты, и это правится только настройками в браузере.

slo_nik

2021-07-06 14:23

Добрый день.

Дмитрий, обращаюсь к Вам как к последней инстанции))) Возникла ситуация в работе сайта, как раз с политикой CORS.

Есть некий сайт, работает на prestashop v.1.6, через установленный плагин получает/отдаёт данные для другого сайта, prom.ua.

Ситуация сложилась такая.

В офисе есть три компьютера. На одном из трёх этот плагин работает без проблем, а на двух других постоянно ошибка CORS.

Проверяли на домашних компьютерах. При заходе на сайт с одного - всё работает, с другого нет.

Проверяли с мобильных телефонов, ситуация такая же. С одних работает, с других нет.

Сначала грешили на плагин и сервер. Но если бы была проблема в плагине или сервере, то не работало бы везде.

Проблема с настройками роутера, windows?.. Service Worker-ы проверял, для сайта не используются, только для prom.ua ставится SW.

Тут я пытался изложить проблему более подробно, пожалуйста, гляньте опытным глазом.

Дмитрий Елисеев

2021-07-07 15:15

Там вроде ответили, что проблема в обращении к http адресу вместо https.

slo_nik

2021-07-07 15:19

Да, но загадка в том, что с других устройств всё работает, ошибки CORS нет.

Почему на двух компьютерах идёт обращение через http, а на одном как и положено, через https?

Все компьютеры подключены к одной сети.

С телефонами такая же фигня, с одних работает, с других нет.

И вот где искать причину - непонятно.

slo_nik

2021-07-07 15:24

Тут уже предполагаем, что возможно причина в настройках роутера или в самих системах. К кэше dns или ещё в чём-то.

Другое дело если бы не работало везде, тогда понятно. Проверка настроек сервера, проверка кода плагина, проверка js скриптов, которые отправляют запрос.

А так непонятно, куда бежать, куда стрелять!

Михаил

2021-10-22 08:24

Спасибо! Нигде не мог найти информацию, почему имено get и особенно post являются безопасными.

Дмитрий Елисеев

2021-10-22 13:58

Об этом рассказано во втором эпизоде.

Иван Сковпин

2022-01-19 12:44

Правильно ли я понял, что в случае в Simple Request браузер всегда посылает запрос, но может не вернуть ответ обратно в JavaScript, если Allow Origin и Origin не совпадают? Тогда ведь получается, что в браузере у пользователя можно выполнить код, который будет спамить любой сайт/API запросами, просто не получая на них ответы. Или есть ещё какие-то нюансы, чтобы избежать подобного сценария?

Дмитрий Елисеев

2022-01-22 07:56

Да, простые GET-запросы на чтение и POST запросы в формате www-form-urlencoded может выполнить в любом случае.

Для борьбы с таким POST-спамом на сайтах как раз придумана CSRF-защита форм, когда в них добавляют hidden-поле со случайным токеном, одновременно возвращаемым в Set-Cookie. Тогда если JavaScript и загрузит форму с токеном по GET, то при отправке данных уже не сможет отправить POST-запрос с заголовком Cookie, так как он не подпадает под Simple Request.

А в API можно сделать работу только по JSON и выдавать доступ клиентам через Oauth2 по client_id. И уже каждому клиенту возвращать его домен в Allow-Origin. Тогда никакие анонимные запросы не пройдут.

Галина

2023-01-29 16:18

Спасибо за видео!)

Зарегистрируйтесь или войдите чтобы оставить комментарий

Или войти через:

Yandex

MailRu

GitHub

Google