क्रॉस-ओरिजिनल रिसोर्स शेयरिंग (CORS)

सित 15, 2023

क्रॉस-ओरिजिनल रिसोर्स शेयरिंग (सीओआरएस) आधुनिक वेब विकास में एक मौलिक सुरक्षा तंत्र है जो विभिन्न डोमेन के बीच सुरक्षित संचार और डेटा विनिमय को सक्षम बनाता है। यह वेब अनुप्रयोगों के उचित कामकाज के लिए एक आवश्यक घटक है, विशेष रूप से वितरित सिस्टम और क्लाउड-आधारित बुनियादी ढांचे के संदर्भ में। सीओआरएस एक डोमेन (मूल) पर चलने वाले वेब एप्लिकेशन को वेब ब्राउज़र की अंतर्निहित समान-उत्पत्ति नीति (एसओपी) का उल्लंघन किए बिना एक अलग डोमेन से संसाधनों, जैसे फ़ॉन्ट, छवियां, स्क्रिप्ट या एपीआई डेटा का अनुरोध करने की अनुमति देता है। एसओपी एक सुरक्षा सुविधा है जो वेब पेजों को एक अलग मूल के संसाधनों के साथ बातचीत करने से रोकती है, उपयोगकर्ताओं को क्रॉस-साइट अनुरोध जालसाजी (एक्सएसआरएफ) और क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस) हमलों जैसी संभावित सुरक्षा कमजोरियों से बचाती है।

सीओआरएस-सक्षम वातावरण में, क्लाइंट (वेब ब्राउज़र) और सर्वर (संसाधन प्रदाता) दोनों यह निर्धारित करने के लिए बातचीत प्रक्रिया में भाग लेते हैं कि क्रॉस-ओरिजिनल संसाधन साझाकरण की अनुमति है या नहीं। यह बातचीत प्रक्रिया, जिसे CORS प्रोटोकॉल के रूप में जाना जाता है, में क्लाइंट और सर्वर के बीच HTTP हेडर का आदान-प्रदान शामिल है। CORS प्रोटोकॉल में दो प्राथमिक घटक होते हैं: प्रीफ़्लाइट अनुरोध और वास्तविक अनुरोध।

प्रीफ़्लाइट अनुरोध वास्तविक अनुरोध से पहले क्लाइंट द्वारा भेजा गया HTTP विकल्प अनुरोध है, यह निर्धारित करने के लिए कि सर्वर वास्तविक अनुरोध के सफल होने के लिए आवश्यक CORS सेटिंग्स का समर्थन करता है या नहीं। सर्वर विशिष्ट सीओआरएस-संबंधित हेडर के साथ प्रतिक्रिया करता है, जो क्रॉस-ऑरिजिन अनुरोधों और किसी भी अतिरिक्त शर्तों या प्रतिबंधों (जैसे अनुमत HTTP तरीकों और हेडर) को स्वीकार करने की इच्छा को दर्शाता है। यदि प्रीफ़्लाइट अनुरोध सफल होता है, तो क्लाइंट वास्तविक अनुरोध के साथ आगे बढ़ता है, जो HTTP GET, POST, PUT, DELETE, या कोई अन्य समर्थित विधि हो सकता है।

CORS का समर्थन करने के लिए, वेब सर्वर और एप्लिकेशन को अपनी प्रतिक्रियाओं में उचित CORS-संबंधित HTTP हेडर शामिल करना होगा। इन शीर्षलेखों में शामिल हैं:

Access-Control-Allow-Origin : संसाधनों तक पहुंचने की अनुमति वाले मूल (डोमेन) को इंगित करता है। किसी भी डोमेन को अनुमति देने के लिए इसे किसी विशिष्ट डोमेन या वाइल्डकार्ड (*) पर सेट किया जा सकता है।
Access-Control-Allow-Methods : क्रॉस-ऑरिजिन अनुरोधों के लिए अनुमत HTTP तरीकों को सूचीबद्ध करता है, जैसे GET, POST, PUT, DELETE, आदि।
Access-Control-Allow-Headers : क्रॉस-ऑरिजिन अनुरोधों, जैसे सामग्री-प्रकार, प्राधिकरण इत्यादि के लिए अनुमत HTTP हेडर निर्दिष्ट करता है।
Access-Control-Expose-Headers : उन हेडर को सूचीबद्ध करता है जिन्हें क्लाइंट सर्वर की प्रतिक्रिया में एक्सेस कर सकता है, जिससे क्लाइंट सर्वर से कस्टम हेडर पढ़ सकता है।
Access-Control-Allow-Credentials : इंगित करता है कि कुकीज़ या अन्य क्रेडेंशियल्स के साथ क्रॉस-ओरिजिन अनुरोधों की अनुमति है या नहीं।
Access-Control-Max-Age : क्लाइंट प्रीफ़्लाइट अनुरोध परिणामों को कैश करने के लिए अधिकतम समय (सेकंड में) निर्दिष्ट करता है, जिससे कई प्रीफ़्लाइट अनुरोधों की आवश्यकता कम हो जाती है।

AppMaster में, जेनरेट किए गए बैकएंड एप्लिकेशन CORS समर्थन के साथ बनाए जाते हैं, जो वेब और मोबाइल एप्लिकेशन के साथ सहज एकीकरण को सक्षम करते हैं जिन्हें विभिन्न डोमेन पर होस्ट किया जा सकता है। इसके अलावा, AppMaster प्लेटफ़ॉर्म CORS सेटिंग्स को प्रबंधित करने के लिए एक सुविधाजनक इंटरफ़ेस प्रदान करता है, जिससे डेवलपर्स के लिए अपने विशिष्ट उपयोग के मामलों के अनुरूप उपयुक्त CORS-संबंधित हेडर को कॉन्फ़िगर करना आसान हो जाता है। यह सुनिश्चित करता है कि जेनरेट किए गए एप्लिकेशन अन्य सेवाओं के साथ तैनाती और एकीकरण में लचीलेपन की अनुमति देते हुए वेब सुरक्षा में सर्वोत्तम प्रथाओं के अनुरूप हैं।

CORS के लिए AppMaster के अंतर्निहित समर्थन के अलावा, वेब डेवलपर्स अपने अनुप्रयोगों में CORS को सक्षम करने के लिए विभिन्न ओपन-सोर्स लाइब्रेरीज़ और मिडलवेयर समाधानों का भी लाभ उठा सकते हैं। कुछ लोकप्रिय पुस्तकालयों में शामिल हैं:

Node.js और एक्सप्रेस के लिए cors
रूबी और रैक अनुप्रयोगों के लिए rack-cors
Django वेब अनुप्रयोगों के लिए django-cors-headers
फ्लास्क वेब अनुप्रयोगों के लिए flask-cors

अंत में, क्रॉस-ओरिजिनल रिसोर्स शेयरिंग (CORS) आधुनिक वेब विकास का एक महत्वपूर्ण पहलू है जो विभिन्न डोमेन के बीच संसाधनों और डेटा को सुरक्षित रूप से साझा करने में सक्षम बनाता है। यह समान-उत्पत्ति नीति की सीमाओं पर काबू पाने के लिए एक आवश्यक समाधान प्रदान करता है, जबकि वेब अनुप्रयोगों की परस्पर जुड़ी दुनिया में आवश्यक सुरक्षा के स्तर को बनाए रखता है। AppMaster का no-code प्लेटफ़ॉर्म CORS तंत्र को अपनाता है, बैकएंड, वेब और मोबाइल एप्लिकेशन तैयार करता है जो वेब सुरक्षा में सर्वोत्तम प्रथाओं का पालन करते हैं। इस तरह, AppMaster डेवलपर्स और व्यवसायों को पहले से कहीं अधिक तेजी से और अधिक लागत प्रभावी ढंग से स्केलेबल और सुरक्षित एप्लिकेशन बनाने का अधिकार देता है।

अधिक शर्तें खोजें:

AJAX (एसिंक्रोनस जावास्क्रिप्ट और XML) Git OAuth PaaS (एक सेवा के रूप में मंच) WYSIWYG (आप जो देखते हैं वही आपको मिलता है) ए/बी परीक्षण एनपीएम (नोड पैकेज मैनेजर) एफ़टीपी (फ़ाइल स्थानांतरण प्रोटोकॉल) एसईओ (खोज इंजन अनुकूलन) एसक्यूएल (संरचित क्वेरी भाषा) फ़ेविकॉन बेबेल यूएक्स (उपयोगकर्ता अनुभव) वेब सर्वर सर्वर-साइड सीआरयूडी (बनाएं, पढ़ें, अपडेट करें, हटाएं)

क्रॉस-ओरिजिनल रिसोर्स शेयरिंग (CORS)

संबंधित पोस्ट