Grow with AppMaster Grow with AppMaster.
Become our partner arrow ico

Udostępnianie zasobów między źródłami (CORS)

Sep 15, 2023

Cross-Origin Resource Sharing (CORS) to podstawowy mechanizm bezpieczeństwa w nowoczesnym tworzeniu stron internetowych, który umożliwia bezpieczną komunikację i wymianę danych między różnymi domenami. Jest niezbędnym elementem do prawidłowego funkcjonowania aplikacji webowych, szczególnie w kontekście systemów rozproszonych i infrastruktury opartej na chmurze. CORS umożliwia aplikacji internetowej działającej w jednej domenie (origin) żądanie zasobów, takich jak czcionki, obrazy, skrypty lub dane API, z innej domeny bez naruszania wbudowanej w przeglądarkę internetową zasady Same-Origin Policy (SOP). SOP to funkcja zabezpieczeń, która uniemożliwia stronom internetowym interakcję z zasobami innego pochodzenia, chroniąc użytkowników przed potencjalnymi lukami w zabezpieczeniach, takimi jak ataki typu cross-site request forgery (XSRF) i cross-site scripting (XSS).

W środowisku obsługującym CORS zarówno klient (przeglądarka internetowa), jak i serwer (dostawca zasobów) uczestniczą w procesie negocjacji w celu ustalenia, czy dozwolone jest udostępnianie zasobów między źródłami. Ten proces negocjacji, znany jako protokół CORS, obejmuje wymianę nagłówków HTTP między klientem a serwerem. Protokół CORS składa się z dwóch głównych komponentów: żądań inspekcji wstępnej i żądań rzeczywistych.

Żądanie wstępnej inspekcji to żądanie HTTP OPTIONS wysłane przez klienta przed faktycznym żądaniem w celu ustalenia, czy serwer obsługuje ustawienia CORS niezbędne do powodzenia rzeczywistego żądania. Serwer odpowiada określonymi nagłówkami związanymi z CORS, wskazując chęć akceptowania żądań pochodzących z różnych źródeł oraz wszelkich dodatkowych warunków lub ograniczeń (takich jak dozwolone metody i nagłówki HTTP). Jeśli żądanie wstępne przebiegnie pomyślnie, klient kontynuuje rzeczywiste żądanie, którym może być HTTP GET, POST, PUT, DELETE lub inna obsługiwana metoda.

Aby obsługiwać CORS, serwery internetowe i aplikacje muszą zawierać w swoich odpowiedziach odpowiednie nagłówki HTTP związane z CORS. Nagłówki te obejmują:

  • Access-Control-Allow-Origin : Wskazuje źródła (domeny), które mają zezwolenie na dostęp do zasobów. Można go ustawić na konkretną domenę lub symbol wieloznaczny (*), aby zezwolić na dowolną domenę.
  • Access-Control-Allow-Methods : wyświetla listę dozwolonych metod HTTP dla żądań pochodzących z różnych źródeł, takich jak GET, POST, PUT, DELETE itp.
  • Access-Control-Allow-Headers : Określa dozwolone nagłówki HTTP dla żądań pochodzących z różnych źródeł, takie jak typ zawartości, autoryzacja itp.
  • Access-Control-Expose-Headers : Wyświetla listę nagłówków, do których klient może uzyskać dostęp w odpowiedzi serwera, umożliwiając klientowi odczytanie niestandardowych nagłówków z serwera.
  • Access-Control-Allow-Credentials : Wskazuje, czy dozwolone są żądania między źródłami zawierające pliki cookie lub inne poświadczenia.
  • Access-Control-Max-Age : Określa maksymalny czas (w sekundach), przez który klient może buforować wyniki żądań inspekcji wstępnej, zmniejszając potrzebę wysyłania wielu żądań inspekcji wstępnej.

W AppMaster generowane aplikacje backendowe są budowane z obsługą CORS, umożliwiając bezproblemową integrację z aplikacjami internetowymi i mobilnymi, które mogą być hostowane w różnych domenach. Co więcej, platforma AppMaster zapewnia wygodny interfejs do zarządzania ustawieniami CORS, ułatwiając programistom konfigurowanie odpowiednich nagłówków związanych z CORS, aby odpowiadały ich konkretnym przypadkom użycia. Zapewnia to zgodność generowanych aplikacji z najlepszymi praktykami w zakresie bezpieczeństwa sieciowego, zapewniając jednocześnie elastyczność we wdrażaniu i integracji z innymi usługami.

Oprócz wbudowanej obsługi CORS AppMaster twórcy stron internetowych mogą również wykorzystywać różne biblioteki open source i rozwiązania oprogramowania pośredniego, aby włączyć CORS w swoich aplikacjach. Niektóre popularne biblioteki obejmują:

  • cors dla Node.js i Express
  • rack-cors do zastosowań Ruby i Rack
  • django-cors-headers dla aplikacji internetowych Django
  • flask-cors dla aplikacji internetowych Flask

Podsumowując, współdzielenie zasobów między źródłami (CORS) to kluczowy aspekt współczesnego tworzenia stron internetowych, który umożliwia bezpieczne udostępnianie zasobów i danych między różnymi domenami. Zapewnia niezbędne rozwiązanie umożliwiające przezwyciężenie ograniczeń Polityki Same-Origin, przy jednoczesnym zachowaniu poziomu bezpieczeństwa wymaganego w połączonym świecie aplikacji internetowych. Platforma AppMaster no-code obejmuje mechanizm CORS, generujący aplikacje backendowe, internetowe i mobilne, które są zgodne z najlepszymi praktykami w zakresie bezpieczeństwa sieciowego. W ten sposób AppMaster umożliwia programistom i firmom tworzenie skalowalnych i bezpiecznych aplikacji szybciej i taniej niż kiedykolwiek wcześniej.

Poznaj więcej terminów:
Babel Biblioteka CSS (kaskadowe arkusze stylów) Ciągła integracja DNS (system nazw domenowych) DOM (obiektowy model dokumentu) Frontend Gniazdo internetowe HTTP (protokół przesyłania hipertekstu) Makieta Maszyna wirtualna NPM (menedżer pakietów węzłów) PHP (preprocesor hipertekstu) Pamięć podręczna Wtyczka Zaszyfrujmy

Powiązane posty

Klucz do odblokowania strategii monetyzacji aplikacji mobilnych
date Mar 12, 2024 clock 6 min
Klucz do odblokowania strategii monetyzacji aplikacji mobilnych
Dowiedz się, jak odblokować pełny potencjał przychodów swojej aplikacji mobilnej dzięki sprawdzonym strategiom zarabiania, obejmującym reklamy, zakupy w aplikacji i subskrypcje.
Mobile App Business Entrepreneurship
Kluczowe kwestie do rozważenia przy wyborze twórcy aplikacji AI
date Mar 06, 2024 clock 8 min
Kluczowe kwestie do rozważenia przy wyborze twórcy aplikacji AI
Wybierając twórcę aplikacji AI, należy wziąć pod uwagę takie czynniki, jak możliwości integracji, łatwość obsługi i skalowalność. W tym artykule omówiono najważniejsze kwestie umożliwiające dokonanie świadomego wyboru.
AI App Builder Low-code
Wskazówki dotyczące skutecznych powiadomień push w PWA
date Mar 06, 2024 clock 7 min
Wskazówki dotyczące skutecznych powiadomień push w PWA
Odkryj sztukę tworzenia skutecznych powiadomień push dla progresywnych aplikacji internetowych (PWA), które zwiększają zaangażowanie użytkowników i zapewniają, że Twoje wiadomości będą wyróżniać się w zatłoczonej przestrzeni cyfrowej.
Web App Tips & Tricks Productivity
ROZPOCZNIJ BEZPŁATNIE
Zainspirowany do samodzielnego wypróbowania?

Najlepszym sposobem na zrozumienie mocy AppMaster jest zobaczenie tego na własne oczy. Stwórz własną aplikację w ciągu kilku minut z bezpłatną subskrypcją

Wprowadź swoje pomysły w życie