Не понятно зачем нужен CORS

@danek130995 · Регистрация: 25.05.2014

Студворк — интернет-сервис помощи студентам

Я не понимаю, зачем нужен CORS? Я знаю как он работает, знаю про заголовок Origin, и прочие вещи. Я только не пойму, в каких случаях, если бы было дозволено делать без ограничений кроссдоменные запросы, это могло бы повредить и как это помогло бы хакерам?

Приведите, пожалуйста, конкретный пример.

@Balanaar · 30.03.2017, 09:27

Начнем хотя бы с того, что многие сервисы, предоставляющие платные API, выдают ключ API, зарегистрированный на определённый домен. Данный заголовок позволяет гарантировать, что никто другой не воспользуется вашим ключом.

Добавлено через 5 минут
По поводу хакеров, тут масса вариантов. К примеру, вы заходите на некий сайт, а там в фоновом режиме делается get-запрос на vk.com. В ответе страница парсится и владельцы сервиса получают ваши личные данные.

@danek130995 · 30.03.2017, 23:05 **[ТС]**

Balanaar,а какие они личные данные получат? Пароль же они не получат, а все остальное и так в доступе.

Добавлено через 7 минут
Balanaar,
И получается, сервисы, которые выдают ключ API, они вообще не учитывают Origin и опираются только на этот ключ? Или у них стоит Allow Origin *?

Добавлено через 4 часа 48 минут
Balanaar, а, возможно, он в куках, вы имели в виду

@Balanaar · 31.03.2017, 14:19

Сообщение от danek130995

а какие они личные данные получат?

Да хотя бы личные переписки

Добавлено через 2 минуты
Да и помимо VK сервисов что-ли мало?

@danek130995 · 31.03.2017, 14:20 **[ТС]**

Balanaar, но ведь это все будет работать только если в куках у юзера сессия сохранена?

@Balanaar · 31.03.2017, 14:22

Да. Далеко не все тыкают кнопку "выйти" каждый раз перед закрытием браузера

@TomKein · 02.03.2023, 01:01

Начнем хотя бы с того, что многие сервисы, предоставляющие платные API, выдают ключ API, зарегистрированный на определённый домен. Данный заголовок позволяет гарантировать, что никто другой не воспользуется вашим ключом.

Не гарантирует, вы прекрасно можете получить доступ не из браузера.
Для гарантии этого, намного проще проверять ориджин на самом сервере, а не делегировать эту работу браузеру.

По поводу хакеров, тут масса вариантов. К примеру, вы заходите на некий сайт, а там в фоновом режиме делается get-запрос на vk.com. В ответе страница парсится и владельцы сервиса получают ваши личные данные.

Опять же, вам никто не мешает сделать этот запрос не из браузера. При этом, если vk.com не все равно, гораздо проще проверить ориджин на сервере. И отвечая на предположения дальше - авторизационные куки в этом случае тоже не передаются, так как у них всегда работает политика same-site, а CORS даже не блокирует их отправку на сервер, только получение ответа от сервера. Что опять проще контролировать на сервере.

Да хотя бы личные переписки

без авторизации - ничего не получить

По мне так CORS, это странный атовизм: запрещать барузеру получать контент с сервера, когда проще серверу не выдавать этот контент для "плохих" ориджин...

Новые блоги и статьи Все статьи Все блоги /
Установка Emscripten SDK (emsdk) и CMake на Windows для сборки C и C++ приложений в WebAssembly (Wasm) 8Observer8 30.01.2026 Чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. Система контроля версиями Git. . .	Подключение Box2D v3 к SDL3 для Android: физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .
Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .

@danek130995 33 / 33 / 3 Регистрация: 25.05.2014 Сообщений: 1,137

	Не понятно зачем нужен CORS 29.03.2017, 21:38. Показов 3741. Ответов 6 Метки нет (Все метки) Я не понимаю, зачем нужен CORS? Я знаю как он работает, знаю про заголовок Origin, и прочие вещи. Я только не пойму, в каких случаях, если бы было дозволено делать без ограничений кроссдоменные запросы, это могло бы повредить и как это помогло бы хакерам? Приведите, пожалуйста, конкретный пример. 0

@Balanaar 2463 / 1769 / 625 Регистрация: 11.07.2016 Сообщений: 4,067
	30.03.2017, 09:27
	Начнем хотя бы с того, что многие сервисы, предоставляющие платные API, выдают ключ API, зарегистрированный на определённый домен. Данный заголовок позволяет гарантировать, что никто другой не воспользуется вашим ключом. Добавлено через 5 минут По поводу хакеров, тут масса вариантов. К примеру, вы заходите на некий сайт, а там в фоновом режиме делается get-запрос на vk.com. В ответе страница парсится и владельцы сервиса получают ваши личные данные. 1

@danek130995 33 / 33 / 3 Регистрация: 25.05.2014 Сообщений: 1,137
	30.03.2017, 23:05 [ТС]
	Balanaar,а какие они личные данные получат? Пароль же они не получат, а все остальное и так в доступе. Добавлено через 7 минут Balanaar, И получается, сервисы, которые выдают ключ API, они вообще не учитывают Origin и опираются только на этот ключ? Или у них стоит Allow Origin ? Добавлено через 4 часа 48 минут* Balanaar, а, возможно, он в куках, вы имели в виду 0

@danek130995 33 / 33 / 3 Регистрация: 25.05.2014 Сообщений: 1,137
	31.03.2017, 14:20 [ТС]
	Balanaar, но ведь это все будет работать только если в куках у юзера сессия сохранена? 0

@Balanaar 2463 / 1769 / 625 Регистрация: 11.07.2016 Сообщений: 4,067
	31.03.2017, 14:22
	Да. Далеко не все тыкают кнопку "выйти" каждый раз перед закрытием браузера 1