小編精選 - 技術文章翻譯  ·  08月14日

CORS 在幕後的實際運作原理

CORS 在幕後的實際運作原理

跨來源資源共享 (CORS) 是 Web 瀏覽器實作的重要安全機制,用於保護使用者免受潛在惡意腳本的侵害。然而,這也是開發人員(尤其是剛接觸 Web 開發的開發人員)感到沮喪的常見原因。本文旨在揭開 CORS 的神秘面紗,解釋其存在的原因,並提供處理 CORS 相關問題的策略。

什麼是 CORS?

CORS 是由 Web 瀏覽器實現的安全功能,用於控制從資源來源網域之外的另一個網域對網頁上的資源(例如 API 或字體)的存取。

同源政策

要了解CORS,我們首先需要了解同源策略。此策略是 Web 瀏覽器中的一項基本安全措施,它限制從一個來源載入的文件或腳本如何與另一個來源的資源互動。來源由協定、域和連接埠的組合定義。

例如:

  • https://example.com/page1https://example.com/page2有相同的來源。

  • https://example.comhttp://example.com有不同的來源(不同的協定)。

  • https://example.comhttps://api.example.com有不同的來源(不同的子網域)。

為什麼存在 CORS

引入 CORS 是為了允許伺服器指定允許哪些來源存取其資源,從而以受控方式放寬同源策略。這對於經常需要向不同網域上託管的 API 發出請求的現代 Web 應用程式至關重要。

常見的 CORS 錯誤

開發人員在嘗試從 Web 應用程式向不同網域上的 API 發出請求時經常會遇到 CORS 錯誤。典型的 CORS 錯誤可能如下所示:

Access to fetch at 'https://api.example.com/data' from origin 'https://myapp.com' 
has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present 
on the requested resource.

CORS 的工作原理

當Web應用程式發出跨來源請求時:

  1. 瀏覽器發送帶有Origin標頭的請求,指定請求頁面的來源。

  2. 然後伺服器可以回應:

  • Access-Control-Allow-Origin標頭指定允許哪些來源。

  • 其他 CORS 標頭控制允許的方法、標頭等。

  1. 如果伺服器的回應不包含適當的 CORS 標頭,瀏覽器將阻止該回應。

解決 CORS 問題

1. 服務端配置

解決 CORS 問題最正確的方法是設定伺服器發送正確的 CORS 標頭。這通常涉及:

  • 設定Access-Control-Allow-Origin標頭以指定允許的來源。

  • 依需求配置其他 CORS 標頭(例如Access-Control-Allow-MethodsAccess-Control-Allow-Headers )。

Node.js 中使用 Express 的範例:

const express = require('express');
const cors = require('cors');
const app = express();

app.use(cors({
  origin: 'https://myapp.com'
}));

// Your routes here

2. 使用代理

如果您無法控制伺服器,則可以設定代理伺服器來新增必要的 CORS 標頭。這通常在開發環境中完成。

使用 Create React App 的代理程式功能的範例:

package.json中:

{
  "proxy": "https://api.example.com"
}

3. JSONP(僅適用於GET請求)

JSONP(帶填充的 JSON)是一種較舊的技術,可以透過使用不受同源策略約束的腳本標籤來繞過 GET 請求的 CORS。

function handleResponse(data) {
  console.log(data);
}

const script = document.createElement('script');
script.src = 'https://api.example.com/data?callback=handleResponse';
document.body.appendChild(script);

注意:JSONP 被認為已經過時,且安全性低於正確的 CORS 實作。

最佳實踐

  1. 了解安全隱患:不要盲目繞過 CORS。它的存在是有原因的。

  2. 使用特定來源:避免在生產中的Access-Control-Allow-Origin中使用* 。指定確切的允許來源。

  3. 使用特定於環境的配置:針對開發和生產環境具有不同的 CORS 設定。

  4. 處理預檢請求:對於非簡單請求,正確處理OPTIONS請求。

  5. 牢記安全性:請記住 CORS 是由瀏覽器強制執行的。伺服器端的安全措施仍然是必要的。

結論

雖然 CORS 可能令人沮喪,但它是一項重要的安全功能。透過了解其工作原理並實施適當的解決方案,開發人員可以建立安全且功能齊全的 Web 應用程式,與跨不同領域的資源互動。

請記住,如果您遇到 CORS 問題,第一步是確定您是否可以控制伺服器。如果這樣做,實現正確的 CORS 標頭是最好的解決方案。如果沒有,請考慮使用代理,或作為簡單 GET 請求的最後手段,JSONP。

原文出處:https://dev.to/shanu001x/how-cors-actually-works-behind-the-scenes-5304

0個讚   0留言 79瀏覽
共有 0 則留言
登入之後發表留言
小編精選 - 技術文章翻譯
精選技術文章翻譯,幫助開發者持續吸收新知。
熱門文章
🔥 React 心態:新手 React 開發人員該如何思考
🔥 掌握 Next.js:2024 年建立大型專案的終極指南
🔥 JavaScript 去抖動綜合指南:提高程式碼效率
🔥 關於 x86、x64、amd64、arm64 的簡單說明
🔥 【前端動手玩創意】動態生成的藝術|小心,亂改DOM你可能會被打臉。
最新出爐專案包
邁向資深之路:非同步 JS 訓練(二)—— 各種寫法的錯誤處理、收尾處理
邁向資深之路:非同步 JS 訓練(一)—— 從 Callback Hell 到 Promise 介面
Github Desktop 新手入門教學 —— 用漂亮的 GUI 介面來學習 Git 基本觀念
邁向資深之路:後端 JS 訓練(二)—— 玩玩看 Express,用純後端做做看部落格
邁向資深之路:後端 JS 訓練(一)—— 玩玩看 Node,做做看老派 CLI 應用程式
熱門搜尋使用 開發 工作 專案 分享 ar 技術 網站 id for 作為 學習 API 作業 github Ml 第一 js 測試 html Javascript 搜尋 AI java javascript HTML Git JAVA 前端 git JavaScript app api javasc %' Java 系列 開源 ui 語言 user 網頁 架構 CD 套件 ul url jav COM 框架 結構 清單 Line ci CSS 後端 GIT 編輯 研究 py AWS css go Node 主題 bi react 部署 工程師 伺服器 Github Ai 資料庫 Can REACT this console create aws json with 遊戲 查詢 部落格 component CSS JS Javas Python class 新手 登入 分析 node 入門 vue 作品 design 新創 非同步
🛡️ 隱私及網站安全:本站註冊過程「不須提供任何個資」,只要 E-Mail 與帳密即可註冊,請安心註冊!線上付款過程使用「綠界科技 ECPay 」第三方專業金流廠商,全程在「綠界科技 ECPay 」網站進行付款程序,本站「不會紀錄任何信用卡資訊」,請放心付款、解鎖課程!您隨時可以透過 FB 粉專或者 Email 聯絡站長,請求刪除網站上的個人資料。