Демистификация CORS: Полное руководство по совместному использованию ресурсов между источниками

В современном взаимосвязанном вебе приложениям часто требуется доступ к ресурсам из разных источников. Именно здесь в игру вступает Cross-Origin Resource Sharing (CORS). CORS — это важнейший механизм безопасности, который определяет, как веб-браузеры обрабатывают запросы от одного источника (домен, протокол и порт) к другому. Понимание CORS необходимо каждому веб-разработчику для создания безопасных и функциональных веб-приложений.

Что такое политика одинакового источника?

Прежде чем углубляться в CORS, важно понять политику одинакового источника (Same-Origin Policy, SOP). SOP — это фундаментальный механизм безопасности, реализованный в веб-браузерах. Его цель — предотвратить доступ вредоносных скриптов с одного веб-сайта к конфиденциальным данным на другом. Источник определяется комбинацией протокола (например, HTTP или HTTPS), домена (например, example.com) и номера порта (например, 80 или 443). Два URL-адреса считаются имеющими один и тот же источник, если у них совпадают протокол, домен и порт.

Пример:

• http://example.com/app1 и http://example.com/app2 - Один и тот же источник (одинаковые протокол, домен и порт)
• https://example.com/app1 и http://example.com/app1 - Разные источники (разный протокол)
• http://example.com:8080/app1 и http://example.com/app1 - Разные источники (разный порт)
• http://sub.example.com/app1 и http://example.com/app1 - Разные источники (разный поддомен – считается другим доменом)

SOP ограничивает доступ скриптов к ресурсам из другого источника, если не приняты специальные меры, такие как CORS, чтобы разрешить это.

Зачем нужен CORS?

Хотя политика одинакового источника жизненно важна для безопасности, она также может быть ограничивающей. Многие современные веб-приложения зависят от получения данных с разных серверов, таких как API или сети доставки контента (CDN). CORS предоставляет контролируемый способ ослабить SOP и разрешить легитимные междоменные запросы, сохраняя при этом безопасность.

Рассмотрим сценарий, когда веб-приложению, размещенному на http://example.com, необходимо получить данные с API-сервера, размещенного на http://api.example.net. Без CORS браузер заблокировал бы этот запрос из-за SOP. CORS позволяет API-серверу явно указать, каким источникам разрешен доступ к его ресурсам, обеспечивая правильную работу веб-приложения.

Как работает CORS: Основы

CORS работает через серию HTTP-заголовков, которыми обмениваются клиент (браузер) и сервер. Сервер использует эти заголовки, чтобы сообщить браузеру, разрешено ли ему получать доступ к запрашиваемому ресурсу. Ключевым HTTP-заголовком является Access-Control-Allow-Origin.

Сценарий 1: Простой запрос

«Простой запрос» — это запрос GET, HEAD или POST, который соответствует определенным критериям (например, заголовок Content-Type является одним из application/x-www-form-urlencoded, multipart/form-data или text/plain). В этом случае браузер отправляет запрос непосредственно на сервер, а сервер отвечает с заголовком Access-Control-Allow-Origin.

Запрос клиента (с http://example.com):

GET /data HTTP/1.1
Host: api.example.net
Origin: http://example.com

Ответ сервера (с http://api.example.net):

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
Content-Type: application/json

{
  "data": "Some data from the server"
}

В этом примере сервер отвечает с Access-Control-Allow-Origin: http://example.com, указывая, что запросы с http://example.com разрешены. Если источник в запросе не совпадает со значением в заголовке Access-Control-Allow-Origin (или если заголовок отсутствует), браузер заблокирует ответ и не позволит клиентскому скрипту получить доступ к данным.

Сценарий 2: Предварительный запрос (для сложных запросов)

Для более сложных запросов, таких как те, что используют методы HTTP PUT, DELETE или имеют пользовательские заголовки, браузер выполняет «предварительный» запрос с использованием метода HTTP OPTIONS. Этот предварительный запрос запрашивает у сервера разрешение перед отправкой фактического запроса. Сервер отвечает заголовками, которые указывают, какие методы, заголовки и источники разрешены.

Предварительный запрос клиента (с http://example.com):

OPTIONS /data HTTP/1.1
Host: api.example.net
Origin: http://example.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header

Ответ сервера (с http://api.example.net):

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
Access-Control-Allow-Methods: GET, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header, Content-Type
Access-Control-Max-Age: 3600

Объяснение заголовков:

• Access-Control-Allow-Origin: http://example.com - Указывает, что запросы с http://example.com разрешены.
• Access-Control-Allow-Methods: GET, PUT, DELETE - Указывает HTTP-методы, разрешенные для междоменных запросов.
• Access-Control-Allow-Headers: X-Custom-Header, Content-Type - Перечисляет разрешенные пользовательские заголовки в фактическом запросе.
• Access-Control-Max-Age: 3600 - Указывает продолжительность (в секундах), в течение которой ответ на предварительный запрос может быть кэширован браузером. Это помогает уменьшить количество предварительных запросов.

Если ответ сервера на предварительный запрос указывает, что запрос разрешен, браузер переходит к фактическому запросу. В противном случае браузер блокирует запрос.

Фактический запрос клиента (с http://example.com):

PUT /data HTTP/1.1
Host: api.example.net
Origin: http://example.com
X-Custom-Header: some-value
Content-Type: application/json

{
  "data": "Some data to be updated"
}

Ответ сервера (с http://api.example.net):

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
Content-Type: application/json

{
  "status": "Data updated successfully"
}

Распространенные заголовки CORS

Вот разбивка ключевых заголовков CORS, которые вам нужно понимать:

• Access-Control-Allow-Origin: Это самый фундаментальный заголовок. Он указывает источник(и), которым разрешен доступ к ресурсу. Возможные значения:
  • Конкретный источник (например, http://example.com).
  • * (wildcard): Это разрешает запросы с любого источника. Используйте с осторожностью, так как это может поставить под угрозу безопасность, если речь идет о конфиденциальных данных. В производственных средах этого следует избегать.
• Access-Control-Allow-Methods: Этот заголовок указывает HTTP-методы (например, GET, POST, PUT, DELETE), разрешенные для междоменных запросов. Используется в ответе на предварительный запрос.
• Access-Control-Allow-Headers: Этот заголовок перечисляет пользовательские заголовки, разрешенные в междоменных запросах. Он также используется в ответе на предварительный запрос.
• Access-Control-Allow-Credentials: Этот заголовок указывает, разрешает ли сервер включать учетные данные (например, cookie, заголовки авторизации) в междоменные запросы. Его следует установить в true, если вам нужно отправлять учетные данные. На стороне клиента вам также нужно установить withCredentials = true для объекта XMLHttpRequest.
• Access-Control-Expose-Headers: По умолчанию браузеры предоставляют клиентским скриптам только ограниченный набор заголовков ответа (например, Cache-Control, Content-Language, Content-Type, Expires, Last-Modified, Pragma). Если вы хотите предоставить доступ к другим заголовкам, их нужно перечислить в заголовке Access-Control-Expose-Headers.
• Access-Control-Max-Age: Этот заголовок указывает максимальное время (в секундах), на которое браузер может кэшировать предварительный запрос. Большее значение уменьшает количество предварительных запросов, улучшая производительность.

CORS в различных серверных языках

Реализация CORS обычно включает в себя настройку вашего серверного приложения для отправки соответствующих заголовков CORS. Вот примеры того, как это сделать в различных языках и фреймворках:

Node.js с Express

Вы можете использовать пакет промежуточного ПО cors:

const express = require('express');
const cors = require('cors');

const app = express();

// Включаем CORS для всех источников (ИСПОЛЬЗУЙТЕ С ОСТОРОЖНОСТЬЮ В ПРОДАКШЕНЕ)
app.use(cors());

// Альтернативно, настраиваем CORS для конкретных источников
// app.use(cors({
//   origin: 'http://example.com'
// }));

app.get('/data', (req, res) => {
  res.json({ message: 'This is CORS-enabled for all origins!' });
});

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

Python с Flask

Вы можете использовать расширение Flask-CORS:

from flask import Flask
from flask_cors import CORS

app = Flask(__name__)
CORS(app)

// Альтернативно, настраиваем CORS для конкретных источников
// CORS(app, resources={r"/api/*": {"origins": "http://example.com"}})

@app.route("/data")
def hello():
    return {"message": "This is CORS-enabled for all origins!"}

if __name__ == '__main__':
    app.run(debug=True)

Java со Spring Boot

Вы можете настроить CORS в вашем приложении Spring Boot с помощью аннотаций или классов конфигурации:

С помощью аннотаций:

import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@CrossOrigin(origins = "http://example.com") // Разрешить запросы с http://example.com
public class DataController {

    @GetMapping("/data")
    public String getData() {
        return "This is CORS-enabled for http://example.com!";
    }
}

С помощью конфигурации:

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/data")
                .allowedOrigins("http://example.com") // Разрешить запросы с http://example.com
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("*");
    }
}

PHP

<?php
header("Access-Control-Allow-Origin: http://example.com");
header("Content-Type: application/json");

$data = array("message" => "This is CORS-enabled for http://example.com!");
echo json_encode($data);
?>

CORS и соображения безопасности

Хотя CORS разрешает междоменные запросы, крайне важно реализовывать его безопасно. Вот некоторые важные соображения:

• Избегайте использования * для Access-Control-Allow-Origin в продакшене: Это разрешает запросы с любого источника, что может представлять угрозу безопасности. Вместо этого явно указывайте источники, которым разрешен доступ к вашим ресурсам.
• Проверяйте заголовок Origin на стороне сервера: Даже если вы используете фреймворк, который обрабатывает конфигурацию CORS, хорошей практикой является проверка заголовка Origin на стороне сервера, чтобы убедиться, что запрос исходит от ожидаемого источника.
• Будьте внимательны с Access-Control-Allow-Credentials: Если вы используете учетные данные (например, cookie, заголовки авторизации), убедитесь, что на стороне сервера установлено Access-Control-Allow-Credentials: true, а на стороне клиента — withCredentials = true. Однако имейте в виду, что использование Access-Control-Allow-Origin: * не допускается, когда Access-Control-Allow-Credentials установлено в true. Вы должны явно указать разрешенные источники.
• Правильно настраивайте Access-Control-Allow-Methods и Access-Control-Allow-Headers: Разрешайте только те HTTP-методы и заголовки, которые необходимы для корректной работы вашего приложения. Это помогает уменьшить поверхность атаки.
• Используйте HTTPS: Всегда используйте HTTPS для своих веб-приложений и API для защиты данных при передаче.

Устранение проблем с CORS

Проблемы с CORS могут быть сложны в отладке. Вот некоторые распространенные проблемы и способы их решения:

• "No 'Access-Control-Allow-Origin' header is present on the requested resource": Это самая распространенная ошибка CORS. Она означает, что сервер не отправляет заголовок Access-Control-Allow-Origin в своем ответе. Дважды проверьте конфигурацию на стороне сервера, чтобы убедиться, что заголовок отправляется правильно.
• "Response to preflight request doesn't pass access control check: It does not have HTTP ok status": Эта ошибка указывает на то, что предварительный запрос не удался. Это может произойти, если сервер не настроен для обработки запросов OPTIONS или если заголовки Access-Control-Allow-Methods или Access-Control-Allow-Headers настроены неправильно.
• "The value of the 'Access-Control-Allow-Origin' header in the response is not equal to the origin in the request": Эта ошибка означает, что источник в запросе не соответствует значению в заголовке Access-Control-Allow-Origin. Убедитесь, что сервер отправляет правильный источник в ответе.
• Кэширование в браузере: Иногда браузеры могут кэшировать ответы CORS, что может привести к неожиданному поведению. Попробуйте очистить кэш браузера или использовать другой браузер, чтобы проверить, решит ли это проблему. Вы также можете использовать заголовок Access-Control-Max-Age для контроля времени кэширования предварительного ответа браузером.

Инструменты для отладки:

• Инструменты разработчика в браузере: Используйте инструменты разработчика браузера (обычно вызываются нажатием F12) для проверки сетевых запросов и ответов. Ищите заголовки, связанные с CORS, и сообщения об ошибках.
• Онлайн-проверщики CORS: Существуют онлайн-инструменты, которые помогут вам протестировать вашу конфигурацию CORS. Эти инструменты отправляют запрос на ваш сервер и анализируют заголовки ответа для выявления потенциальных проблем.

Продвинутые сценарии CORS

Хотя основные концепции CORS относительно просты, существуют и более продвинутые сценарии, которые следует учитывать:

• CORS с поддоменами: Если вам нужно разрешить запросы с нескольких поддоменов (например, app1.example.com, app2.example.com), вы не можете просто использовать wildcard, например *.example.com, в заголовке Access-Control-Allow-Origin. Вместо этого вам потребуется динамически генерировать заголовок Access-Control-Allow-Origin на основе заголовка Origin в запросе. Не забудьте проверять источник по белому списку разрешенных поддоменов, чтобы предотвратить уязвимости безопасности.
• CORS с несколькими источниками: Если вам нужно разрешить запросы с нескольких конкретных источников, вы не можете указать несколько источников в заголовке Access-Control-Allow-Origin (например, Access-Control-Allow-Origin: http://example.com, http://another.com недопустимо). Вместо этого вам потребуется динамически генерировать заголовок Access-Control-Allow-Origin на основе заголовка Origin в запросе.
• CORS и CDN: При использовании CDN для обслуживания вашего API необходимо настроить CDN так, чтобы он перенаправлял заголовок Origin на ваш исходный сервер и правильно кэшировал заголовок Access-Control-Allow-Origin. Обратитесь к документации вашего провайдера CDN за конкретными инструкциями.

Лучшие практики CORS

Чтобы обеспечить безопасную и эффективную реализацию CORS, следуйте этим лучшим практикам:

• Принцип наименьших привилегий: Разрешайте только минимальный набор источников, методов и заголовков, необходимых для корректной работы вашего приложения.
• Регулярно пересматривайте конфигурацию CORS: По мере развития вашего приложения регулярно пересматривайте конфигурацию CORS, чтобы убедиться, что она по-прежнему актуальна и безопасна.
• Используйте фреймворк или библиотеку: Используйте существующие фреймворки или библиотеки, которые предоставляют встроенную поддержку CORS. Это может упростить реализацию и снизить риск ошибок.
• Отслеживайте нарушения CORS: Внедрите мониторинг для обнаружения и реагирования на потенциальные нарушения CORS.
• Будьте в курсе: Следите за последними спецификациями и рекомендациями по безопасности CORS.

Заключение

CORS — это критически важный механизм безопасности, который обеспечивает контролируемые междоменные запросы в веб-приложениях. Понимание того, как работает CORS и как его правильно настраивать, необходимо каждому веб-разработчику. Следуя рекомендациям и лучшим практикам, изложенным в этом полном руководстве, вы сможете создавать безопасные и функциональные веб-приложения, которые беспрепятственно взаимодействуют с ресурсами из разных источников.

Помните, что всегда нужно отдавать приоритет безопасности и избегать использования слишком разрешительных конфигураций CORS. Тщательно обдумывая последствия для безопасности ваших настроек CORS, вы можете защитить свои приложения и данные от несанкционированного доступа.

Мы надеемся, что это руководство помогло вам демистифицировать CORS. Удачного кодинга!