F
Frontend
Вопросы
Тренажер вопросов
Тесты
Задачи
скоро
Поиск по сайту
Ctrl + K
Вопросы по Веб-разработке
Как работает AJAX и чем он отличается от традиционных запросов?
Как реализовать обработку ошибок при запросах к API?
Что такое API-ключ и как его использовать?
Что такое API-версионирование и зачем оно нужно?
Как осуществляется авторизация и аутентификация в веб-приложениях?
Как избежать проблем с CORS в веб-приложении?
Как работает кеширование в браузере? Что такое ETag, Cache-Control и другие заголовки кеша?
Что такое CSP и как она помогает повысить безопасность?
Как работают куки и сессии в контексте веб-приложений?
Как работает блокировка запросов в результате политик безопасности (например, CSP)?
Как реализовать защиту от CSRF в веб-приложении?
Какие инструменты для отладки сетевых запросов вы знаете?
В чём разница между HTTP и HTTPS?
Что такое DNS и как происходит разрешение доменного имени в IP-адрес?
В чём разница между доменными и поддоменными запросами?
Как обеспечить безопасность данных при передаче по сети?
Как использовать Fetch API для выполнения HTTP-запросов?
Как браузеры управляют параллельными соединениями?
Как работает механизм сжатия данных в HTTP?
Что такое заголовки HTTP? Назови 5 полезных заголовков и их назначения.
Какие заголовки HTTP вы можете использовать для оптимизации производительности?
Как работают Keep-Alive соединения в HTTP/1.1?
Какие HTTP-методы вы знаете и в чём их назначение?
Объясни разницу между кодами ответа HTTP 200, 301, 400, 401, 403, 404, 500.
Что такое HTTP/2 и чем он отличается от HTTP/1.1?
Как работает последовательность handshake при HTTPS-соединении?
Что такое IP-адрес и чем отличаются IPv4 и IPv6?
Что такое JSON и как его использовать в веб-приложениях?
Что такое нагрузочное тестирование и как его проводить?
Как управлять временными ограничениями запросов?
Что такое микросервисы и как они связаны с архитектурой приложений?
Что такое MIME-типы и зачем они нужны?
Как можно отслеживать производительность сетевых запросов?
Какие бывают типы атак через сеть и как их можно ограничить с фронта?
На каком уровне модели OSI работают HTTP, TCP, и IP?
Что такое preflight-запрос и когда он отправляется?
Что такое XSS и как его предотвратить на уровне фронтенда?
Как работает механика обмена данными в реальном времени?
Чем отличаются заголовки Request Headers и Response Headers?
Каковы отличия между REST и GraphQL?
Как работает механизм retry при неудачных запросах?
Что такое Same-Origin Policy?
В чём разница между Same-Origin Policy и CORS?
Что такое сокеты и как они используются в веб-разработке?
Что такое сертификаты SSL и как они обеспечивают безопасность?
Что такое TCP и чем он отличается от UDP?
Как работает TLS и зачем он нужен в HTTPS?
Как работает механизм авторизации через токены (Bearer, JWT)?
Что такое TTL в DNS-записях?
Как работает механика соединений в WebSocket?
Что такое WebSocket и когда его лучше использовать вместо HTTP?
Что происходит при вводе URL в адресной строке браузера?
Что такое CDN и зачем он используется?
Что такое CORS и как он работает?
Что такое HTTP и как он работает?
Что такое MTU (Maximum Transmission Unit)?
Что такое NAT и как он работает?
Что такое прокси-сервер и зачем он может использоваться на клиенте?
Что такое заголовок Referer и как его можно ограничивать?
Что такое RESTful API и как его использовать?
Что такое VPN и как он влияет на сетевые запросы?
Что делает заголовок X-Content-Type-Options=nosniff ?

Что такое preflight-запрос и когда он отправляется?

Предварительные (preflight) запросы являются важной частью механизма безопасности, связанного с CORS (Cross-Origin Resource Sharing) в веб-разработке.

Что такое CORS?

CORS — это стандарт, который позволяет ограничить доступ к ресурсам на одном домене с другого домена. Это важно для безопасности, так как без таких ограничений, злоумышленники могли бы отправлять запросы от вашего имени, используя ваши данные.

Какие бывают запросы?

Когда вы отправляете запрос с вашего фронтенда на сервер (например, с http://example.com на http://api.example.com), браузер должен удостовериться, что это безопасно. В зависимости от типа запроса, браузер может отправить preflight-запрос перед тем, как выполнить основной запрос.

Когда отправляется preflight-запрос?

Preflight-запрос отправляется для "непростых" (non-simple) запросов. Простые запросы — это те, которые используют только методы GET, POST и HEAD и определенные заголовки. Однако, если вы используете, например, метод PUT, DELETE или добавляете нестандартные заголовки, браузер выполнит preflight-запрос.

Как выглядит preflight-запрос?

Preflight-запрос — это HTTP-запрос типа OPTIONS. Он отправляется на сервер с информацией о том, какой метод, заголовки и другие параметры будут использоваться в последующем запросе. Вот простой пример такого запроса:

OPTIONS /api/resource HTTP/1.1
Host: api.example.com
Origin: http://example.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-Custom-Header

В ответ на этот запрос сервер должен вернуть заголовки, подтверждающие, что он разрешает такие запросы:

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-Custom-Header

Как обрабатывать preflight-запросы на сервере?

На сервере вы можете обрабатывать preflight-запросы, добавляя необходимые заголовки. Например, если вы используете Node.js с Express, это можно сделать так:

const express = require('express');
const app = express();

app.use((req, res, next) => {
    res.header("Access-Control-Allow-Origin", "http://example.com");
    res.header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
    res.header("Access-Control-Allow-Headers", "X-Custom-Header");
    if (req.method === 'OPTIONS') {
        return res.sendStatus(200);
    }
    next();
});

app.post('/api/resource', (req, res) => {
    res.send('Resource created');
});

app.listen(3000, () => {
    console.log('Server running on http://localhost:3000');
});

Заключение

Чтобы избежать проблем с CORS, всегда учитывайте необходимость в preflight-запросах при проектировании API. Если вы будете использовать простые запросы и следовать правилам CORS, то сможете обеспечить безопасное взаимодействие вашего фронтенда с бэкендом.

Предыдущий вопрос
На каком уровне модели OSI работают HTTP, TCP, и IP?
Следующий вопрос
Что такое XSS и как его предотвратить на уровне фронтенда?
Содержание:
Что такое CORS?
Какие бывают запросы?
Когда отправляется preflight-запрос?
Как выглядит preflight-запрос?
Как обрабатывать preflight-запросы на сервере?
Заключение
Редактировать