Не понятно зачем нужен CORS

@danek130995 · Регистрация: 25.05.2014

Студворк — интернет-сервис помощи студентам

Я не понимаю, зачем нужен CORS? Я знаю как он работает, знаю про заголовок Origin, и прочие вещи. Я только не пойму, в каких случаях, если бы было дозволено делать без ограничений кроссдоменные запросы, это могло бы повредить и как это помогло бы хакерам?

Приведите, пожалуйста, конкретный пример.

@Balanaar · 30.03.2017, 09:27

Начнем хотя бы с того, что многие сервисы, предоставляющие платные API, выдают ключ API, зарегистрированный на определённый домен. Данный заголовок позволяет гарантировать, что никто другой не воспользуется вашим ключом.

Добавлено через 5 минут
По поводу хакеров, тут масса вариантов. К примеру, вы заходите на некий сайт, а там в фоновом режиме делается get-запрос на vk.com. В ответе страница парсится и владельцы сервиса получают ваши личные данные.

@danek130995 · 30.03.2017, 23:05 **[ТС]**

Balanaar,а какие они личные данные получат? Пароль же они не получат, а все остальное и так в доступе.

Добавлено через 7 минут
Balanaar,
И получается, сервисы, которые выдают ключ API, они вообще не учитывают Origin и опираются только на этот ключ? Или у них стоит Allow Origin *?

Добавлено через 4 часа 48 минут
Balanaar, а, возможно, он в куках, вы имели в виду

@Balanaar · 31.03.2017, 14:19

Сообщение от danek130995

а какие они личные данные получат?

Да хотя бы личные переписки

Добавлено через 2 минуты
Да и помимо VK сервисов что-ли мало?

@danek130995 · 31.03.2017, 14:20 **[ТС]**

Balanaar, но ведь это все будет работать только если в куках у юзера сессия сохранена?

@Balanaar · 31.03.2017, 14:22

Да. Далеко не все тыкают кнопку "выйти" каждый раз перед закрытием браузера

@TomKein · 02.03.2023, 01:01

Начнем хотя бы с того, что многие сервисы, предоставляющие платные API, выдают ключ API, зарегистрированный на определённый домен. Данный заголовок позволяет гарантировать, что никто другой не воспользуется вашим ключом.

Не гарантирует, вы прекрасно можете получить доступ не из браузера.
Для гарантии этого, намного проще проверять ориджин на самом сервере, а не делегировать эту работу браузеру.

По поводу хакеров, тут масса вариантов. К примеру, вы заходите на некий сайт, а там в фоновом режиме делается get-запрос на vk.com. В ответе страница парсится и владельцы сервиса получают ваши личные данные.

Опять же, вам никто не мешает сделать этот запрос не из браузера. При этом, если vk.com не все равно, гораздо проще проверить ориджин на сервере. И отвечая на предположения дальше - авторизационные куки в этом случае тоже не передаются, так как у них всегда работает политика same-site, а CORS даже не блокирует их отправку на сервер, только получение ответа от сервера. Что опять проще контролировать на сервере.

Да хотя бы личные переписки

без авторизации - ничего не получить

По мне так CORS, это странный атовизм: запрещать барузеру получать контент с сервера, когда проще серверу не выдавать этот контент для "плохих" ориджин...

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@danek130995 33 / 33 / 3 Регистрация: 25.05.2014 Сообщений: 1,137

	Не понятно зачем нужен CORS 29.03.2017, 21:38. Показов 3746. Ответов 6 Метки нет (Все метки) Я не понимаю, зачем нужен CORS? Я знаю как он работает, знаю про заголовок Origin, и прочие вещи. Я только не пойму, в каких случаях, если бы было дозволено делать без ограничений кроссдоменные запросы, это могло бы повредить и как это помогло бы хакерам? Приведите, пожалуйста, конкретный пример. 0

@Balanaar 2463 / 1769 / 625 Регистрация: 11.07.2016 Сообщений: 4,067
	30.03.2017, 09:27
	Начнем хотя бы с того, что многие сервисы, предоставляющие платные API, выдают ключ API, зарегистрированный на определённый домен. Данный заголовок позволяет гарантировать, что никто другой не воспользуется вашим ключом. Добавлено через 5 минут По поводу хакеров, тут масса вариантов. К примеру, вы заходите на некий сайт, а там в фоновом режиме делается get-запрос на vk.com. В ответе страница парсится и владельцы сервиса получают ваши личные данные. 1

@danek130995 33 / 33 / 3 Регистрация: 25.05.2014 Сообщений: 1,137
	30.03.2017, 23:05 [ТС]
	Balanaar,а какие они личные данные получат? Пароль же они не получат, а все остальное и так в доступе. Добавлено через 7 минут Balanaar, И получается, сервисы, которые выдают ключ API, они вообще не учитывают Origin и опираются только на этот ключ? Или у них стоит Allow Origin ? Добавлено через 4 часа 48 минут* Balanaar, а, возможно, он в куках, вы имели в виду 0

@danek130995 33 / 33 / 3 Регистрация: 25.05.2014 Сообщений: 1,137
	31.03.2017, 14:20 [ТС]
	Balanaar, но ведь это все будет работать только если в куках у юзера сессия сохранена? 0

@Balanaar 2463 / 1769 / 625 Регистрация: 11.07.2016 Сообщений: 4,067
	31.03.2017, 14:22
	Да. Далеко не все тыкают кнопку "выйти" каждый раз перед закрытием браузера 1

Опции темы