Не понятно зачем нужен CORS

@danek130995 · Регистрация: 25.05.2014

Студворк — интернет-сервис помощи студентам

Я не понимаю, зачем нужен CORS? Я знаю как он работает, знаю про заголовок Origin, и прочие вещи. Я только не пойму, в каких случаях, если бы было дозволено делать без ограничений кроссдоменные запросы, это могло бы повредить и как это помогло бы хакерам?

Приведите, пожалуйста, конкретный пример.

@Balanaar · 30.03.2017, 09:27

Начнем хотя бы с того, что многие сервисы, предоставляющие платные API, выдают ключ API, зарегистрированный на определённый домен. Данный заголовок позволяет гарантировать, что никто другой не воспользуется вашим ключом.

Добавлено через 5 минут
По поводу хакеров, тут масса вариантов. К примеру, вы заходите на некий сайт, а там в фоновом режиме делается get-запрос на vk.com. В ответе страница парсится и владельцы сервиса получают ваши личные данные.

@danek130995 · 30.03.2017, 23:05 **[ТС]**

Balanaar,а какие они личные данные получат? Пароль же они не получат, а все остальное и так в доступе.

Добавлено через 7 минут
Balanaar,
И получается, сервисы, которые выдают ключ API, они вообще не учитывают Origin и опираются только на этот ключ? Или у них стоит Allow Origin *?

Добавлено через 4 часа 48 минут
Balanaar, а, возможно, он в куках, вы имели в виду

@Balanaar · 31.03.2017, 14:19

Сообщение от danek130995

а какие они личные данные получат?

Да хотя бы личные переписки

Добавлено через 2 минуты
Да и помимо VK сервисов что-ли мало?

@danek130995 · 31.03.2017, 14:20 **[ТС]**

Balanaar, но ведь это все будет работать только если в куках у юзера сессия сохранена?

@Balanaar · 31.03.2017, 14:22

Да. Далеко не все тыкают кнопку "выйти" каждый раз перед закрытием браузера

@TomKein · 02.03.2023, 01:01

Начнем хотя бы с того, что многие сервисы, предоставляющие платные API, выдают ключ API, зарегистрированный на определённый домен. Данный заголовок позволяет гарантировать, что никто другой не воспользуется вашим ключом.

Не гарантирует, вы прекрасно можете получить доступ не из браузера.
Для гарантии этого, намного проще проверять ориджин на самом сервере, а не делегировать эту работу браузеру.

По поводу хакеров, тут масса вариантов. К примеру, вы заходите на некий сайт, а там в фоновом режиме делается get-запрос на vk.com. В ответе страница парсится и владельцы сервиса получают ваши личные данные.

Опять же, вам никто не мешает сделать этот запрос не из браузера. При этом, если vk.com не все равно, гораздо проще проверить ориджин на сервере. И отвечая на предположения дальше - авторизационные куки в этом случае тоже не передаются, так как у них всегда работает политика same-site, а CORS даже не блокирует их отправку на сервер, только получение ответа от сервера. Что опять проще контролировать на сервере.

Да хотя бы личные переписки

без авторизации - ничего не получить

По мне так CORS, это странный атовизм: запрещать барузеру получать контент с сервера, когда проще серверу не выдавать этот контент для "плохих" ориджин...

Новые блоги и статьи Все статьи Все блоги /
Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ

@danek130995 33 / 33 / 3 Регистрация: 25.05.2014 Сообщений: 1,137

	Не понятно зачем нужен CORS 29.03.2017, 21:38. Показов 3801. Ответов 6 Метки нет (Все метки) Я не понимаю, зачем нужен CORS? Я знаю как он работает, знаю про заголовок Origin, и прочие вещи. Я только не пойму, в каких случаях, если бы было дозволено делать без ограничений кроссдоменные запросы, это могло бы повредить и как это помогло бы хакерам? Приведите, пожалуйста, конкретный пример. 0

@Balanaar 2463 / 1769 / 625 Регистрация: 11.07.2016 Сообщений: 4,067
	30.03.2017, 09:27
	Начнем хотя бы с того, что многие сервисы, предоставляющие платные API, выдают ключ API, зарегистрированный на определённый домен. Данный заголовок позволяет гарантировать, что никто другой не воспользуется вашим ключом. Добавлено через 5 минут По поводу хакеров, тут масса вариантов. К примеру, вы заходите на некий сайт, а там в фоновом режиме делается get-запрос на vk.com. В ответе страница парсится и владельцы сервиса получают ваши личные данные. 1

@danek130995 33 / 33 / 3 Регистрация: 25.05.2014 Сообщений: 1,137
	30.03.2017, 23:05 [ТС]
	Balanaar,а какие они личные данные получат? Пароль же они не получат, а все остальное и так в доступе. Добавлено через 7 минут Balanaar, И получается, сервисы, которые выдают ключ API, они вообще не учитывают Origin и опираются только на этот ключ? Или у них стоит Allow Origin ? Добавлено через 4 часа 48 минут* Balanaar, а, возможно, он в куках, вы имели в виду 0

@danek130995 33 / 33 / 3 Регистрация: 25.05.2014 Сообщений: 1,137
	31.03.2017, 14:20 [ТС]
	Balanaar, но ведь это все будет работать только если в куках у юзера сессия сохранена? 0

@Balanaar 2463 / 1769 / 625 Регистрация: 11.07.2016 Сообщений: 4,067
	31.03.2017, 14:22
	Да. Далеко не все тыкают кнопку "выйти" каждый раз перед закрытием браузера 1