F
Frontend
Вопросы
Тренажер вопросов
Тесты
Задачи
скоро
Поиск по сайту
Ctrl + K
Вопросы по Веб-разработке
Как работает AJAX и чем он отличается от традиционных запросов?
Как реализовать обработку ошибок при запросах к API?
Что такое API-ключ и как его использовать?
Что такое API-версионирование и зачем оно нужно?
Как осуществляется авторизация и аутентификация в веб-приложениях?
Как избежать проблем с CORS в веб-приложении?
Как работает кеширование в браузере? Что такое ETag, Cache-Control и другие заголовки кеша?
Что такое CSP и как она помогает повысить безопасность?
Как работают куки и сессии в контексте веб-приложений?
Как работает блокировка запросов в результате политик безопасности (например, CSP)?
Как реализовать защиту от CSRF в веб-приложении?
Какие инструменты для отладки сетевых запросов вы знаете?
В чём разница между HTTP и HTTPS?
Что такое DNS и как происходит разрешение доменного имени в IP-адрес?
В чём разница между доменными и поддоменными запросами?
Как обеспечить безопасность данных при передаче по сети?
Как использовать Fetch API для выполнения HTTP-запросов?
Как браузеры управляют параллельными соединениями?
Как работает механизм сжатия данных в HTTP?
Что такое заголовки HTTP? Назови 5 полезных заголовков и их назначения.
Какие заголовки HTTP вы можете использовать для оптимизации производительности?
Как работают Keep-Alive соединения в HTTP/1.1?
Какие HTTP-методы вы знаете и в чём их назначение?
Объясни разницу между кодами ответа HTTP 200, 301, 400, 401, 403, 404, 500.
Что такое HTTP/2 и чем он отличается от HTTP/1.1?
Как работает последовательность handshake при HTTPS-соединении?
Что такое IP-адрес и чем отличаются IPv4 и IPv6?
Что такое JSON и как его использовать в веб-приложениях?
Что такое нагрузочное тестирование и как его проводить?
Как управлять временными ограничениями запросов?
Что такое микросервисы и как они связаны с архитектурой приложений?
Что такое MIME-типы и зачем они нужны?
Как можно отслеживать производительность сетевых запросов?
Какие бывают типы атак через сеть и как их можно ограничить с фронта?
На каком уровне модели OSI работают HTTP, TCP, и IP?
Что такое preflight-запрос и когда он отправляется?
Что такое XSS и как его предотвратить на уровне фронтенда?
Как работает механика обмена данными в реальном времени?
Чем отличаются заголовки Request Headers и Response Headers?
Каковы отличия между REST и GraphQL?
Как работает механизм retry при неудачных запросах?
Что такое Same-Origin Policy?
В чём разница между Same-Origin Policy и CORS?
Что такое сокеты и как они используются в веб-разработке?
Что такое сертификаты SSL и как они обеспечивают безопасность?
Что такое TCP и чем он отличается от UDP?
Как работает TLS и зачем он нужен в HTTPS?
Как работает механизм авторизации через токены (Bearer, JWT)?
Что такое TTL в DNS-записях?
Как работает механика соединений в WebSocket?
Что такое WebSocket и когда его лучше использовать вместо HTTP?
Что происходит при вводе URL в адресной строке браузера?
Что такое CDN и зачем он используется?
Что такое CORS и как он работает?
Что такое HTTP и как он работает?
Что такое MTU (Maximum Transmission Unit)?
Что такое NAT и как он работает?
Что такое прокси-сервер и зачем он может использоваться на клиенте?
Что такое заголовок Referer и как его можно ограничивать?
Что такое RESTful API и как его использовать?
Что такое VPN и как он влияет на сетевые запросы?
Что делает заголовок X-Content-Type-Options=nosniff ?

В чём разница между Same-Origin Policy и CORS?

При разработке веб-приложений часто возникает необходимость взаимодействия с ресурсами, находящимися на других серверах. В этом контексте важнейшую роль играют механизмы безопасности браузеров, известные как Same-Origin Policy и CORS. Понимание этих концепций критически важно для новичков, чтобы избежать распространённых ошибок и обеспечить безопасное взаимодействие с API.

Same-Origin Policy

Same-Origin Policy (SOP) — это механизм безопасности браузера, который ограничивает то, как документы или скрипты, загруженные с одного источника (origin), могут взаимодействовать с ресурсами другого источника. "Источник" определяется как комбинация схемы (protocol), хоста (host) и порта (port).

Пример:

  • https://example.com:443 — это один источник.
  • http://example.com:80 — это другой источник (разная схема).
  • https://api.example.com:443 — это другой источник (разный хост).

Как работает Same-Origin Policy

SOP предотвращает:

  • Запросы: Скрипты на одной странице не могут отправлять HTTP-запросы на другой источник.
  • Доступ к данным: Скрипты не могут читать данные, полученные с других источников.

    • Таким образом, если ваш JavaScript пытается выполнить запрос к https://api.example.com, когда основной документ загружен с https://example.com, браузер заблокирует этот запрос.

    CORS (Cross-Origin Resource Sharing)

    CORS — это механизм, который позволяет веб-приложениям на одном источнике (origin) запросить ресурсы с другого источника. CORS предоставляет серверу способ сообщать браузеру, что он разрешает запросы с других источников.

    Как работает CORS

  • Заголовки ответа: Сервер, который хочет разрешить кросс-доменные запросы, добавляет специальный заголовок Access-Control-Allow-Origin в ответ на HTTP-запрос.
    Пример заголовка:
    Access-Control-Allow-Origin: *

    Это позволяет любому источнику получать доступ к данному ресурсу.
  • Предварительные запросы: Если запрос включает методы, отличные от GET или POST, или если он отправляет пользовательские заголовки, браузер сначала выполняет запрос OPTIONS (предварительный запрос) для проверки, разрешает ли сервер выполнение фактического запроса.

    • Пример использования CORS

    Рассмотрим пример, где мы выполняем AJAX запрос к серверу. Если сервер поддерживает CORS, он должен установить необходимые заголовки.

    fetch('https://api.example.com/data', {
    method: 'GET',
    headers: {
        'Content-Type': 'application/json'
    }
})
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error('Ошибка:', error));

    На стороне сервера, если он на Node.js с использованием Express, код может выглядеть так:

    const express = require('express');
const cors = require('cors');
const app = express();

app.use(cors()); // Включаем CORS

app.get('/data', (req, res) => {
    res.json({ message: 'Это кросс-доменный запрос!' });
});

app.listen(3000, () => {
    console.log('Сервер запущен на http://localhost:3000');
});

    Заключение

    Таким образом, Same-Origin Policy служит защитой против потенциально вредоносных запросов, а CORS предоставляет возможность безопасного обмена ресурсами между разными источниками. Понимание этих концепций поможет вам не только в открытии возможности работать с API, но и в обеспечении безопасной работы вашего приложения.

    Предыдущий вопрос
    Что такое Same-Origin Policy?
    Следующий вопрос
    Что такое сокеты и как они используются в веб-разработке?
    Содержание:
    Same-Origin Policy
    Как работает Same-Origin Policy
    CORS (Cross-Origin Resource Sharing)
    Как работает CORS
    Пример использования CORS
    Заключение
    Редактировать