Найти в Дзене
Прога и коты
2 подписчика

Понимание CORS в веб-разработке и его настройка в Python

36
3 мин
Cross-Origin Resource Sharing (CORS) – это механизм безопасности, применяемый в веб-разработке для управления тем, какие источники могут запрашивать ресурсы с сервера. CORS помогает защитить веб-приложения от нежелательных и потенциально опасных запросов, блокируя доступ к ресурсам для неподдерживаемых источников. В этой статье мы разберём, как работает CORS, зачем он нужен и как его настраивать в Python. По умолчанию браузеры защищают пользователей от выполнения запросов к серверам других доменов через механизм под названием политика того же источника (same-origin policy). Эта политика разрешает загружать данные только с того же домена, откуда был загружен сайт, и блокирует доступ для других источников. Например, если сайт загружен с домена https://example.com, он не сможет запросить данные с https://anotherdomain.com, если сервер второго домена не поддерживает CORS. С помощью CORS сервер может определить, каким источникам он готов предоставить доступ к своим ресурсам. Это особенно по
Оглавление

Cross-Origin Resource Sharing (CORS) – это механизм безопасности, применяемый в веб-разработке для управления тем, какие источники могут запрашивать ресурсы с сервера. CORS помогает защитить веб-приложения от нежелательных и потенциально опасных запросов, блокируя доступ к ресурсам для неподдерживаемых источников. В этой статье мы разберём, как работает CORS, зачем он нужен и как его настраивать в Python.

Что такое CORS и почему он важен?

По умолчанию браузеры защищают пользователей от выполнения запросов к серверам других доменов через механизм под названием политика того же источника (same-origin policy). Эта политика разрешает загружать данные только с того же домена, откуда был загружен сайт, и блокирует доступ для других источников.

Например, если сайт загружен с домена https://example.com, он не сможет запросить данные с https://anotherdomain.com, если сервер второго домена не поддерживает CORS.

С помощью CORS сервер может определить, каким источникам он готов предоставить доступ к своим ресурсам. Это особенно полезно для API, так как позволяет контролировать, кто может взаимодействовать с сервером.

Как работает CORS?

CORS добавляет специальные заголовки к HTTP-ответам, которые браузеры используют для определения доступа. Основные заголовки:

  • Access-Control-Allow-Origin – указывает, какие источники могут делать запросы к ресурсу. Например, если установить Access-Control-Allow-Origin: https://example.com, это позволит только https://example.com запрашивать ресурсы с сервера.
  • Access-Control-Allow-Methods – определяет, какие методы HTTP (GET, POST, PUT и т. д.) разрешены для указанного источника.
  • Access-Control-Allow-Headers – указывает, какие заголовки можно отправить вместе с запросом, например, Authorization.
  • Access-Control-Max-Age – задает время кэширования CORS-ответа. Это полезно, чтобы уменьшить количество CORS-запросов для одних и тех же источников.

Типы CORS-запросов

  1. Simple Requests (простые запросы)
    Простые запросы включают методы GET, POST и HEAD и не содержат специальных заголовков (например, Content-Type: application/x-www-form-urlencoded). Браузер автоматически отправляет эти запросы, если они соответствуют базовым требованиям безопасности.
  2. Preflight Requests (предварительные запросы)
    Если запрос использует методы, отличные от GET или POST, или содержит пользовательские заголовки, браузер сначала отправляет     предварительный запрос (OPTIONS) для проверки разрешений CORS. Сервер обрабатывает этот запрос и возвращает заголовки CORS, сообщая браузеру, разрешён ли доступ.

Как настроить CORS в Python

Для настройки CORS в Python можно использовать библиотеки, которые позволяют гибко управлять доступом к ресурсам сервера.

1. Настройка CORS в Flask

Flask имеет расширение flask-cors, которое упрощает настройку CORS. Вот пример его использования:

-2

Здесь CORS(app) позволяет любым источникам получать доступ к API. Можно настроить CORS только для определённых маршрутов или источников:

CORS(app, resources={r"/api/*": {"origins": "https://example.com"}})

2. Настройка CORS в Django

В Django CORS можно настроить с помощью пакета django-cors-headers. Установите его с помощью pip:

bashCopy codepip install django-cors-headers

После установки добавьте его в INSTALLED_APPS и настройте разрешения в settings.py:

-3

Эти настройки позволят контролировать доступ к ресурсам API, исходя из доменов, которым вы доверяете.

3. Настройка CORS в FastAPI

FastAPI также поддерживает настройку CORS с помощью встроенного средства CORSMiddleware:

pythonCopy codefrom fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

-4

Здесь allow_origins определяет список источников, которые могут обращаться к API. allow_methods и allow_headers позволяют настроить, какие HTTP-методы и заголовки разрешены для запросов.

Советы по настройке CORS

  1. Не включайте все источники, если это не необходимо. Открытый доступ (с *) подходит для публичных API, но если данные конфиденциальны, ограничьте доступ конкретными доменами.
  2. Контролируйте заголовки и методы. Оставьте только нужные методы (например, GET и POST), чтобы минимизировать риски безопасности.
  3. Используйте предварительные запросы для сложных запросов. Это может помочь избежать нежелательных запросов к серверу и предотвратить отправку нежелательных данных.
  4. Кэшируйте предварительные запросы. Чтобы сократить нагрузку на сервер, можно установить Access-Control-Max-Age для увеличения времени кэширования.

Заключение

CORS — важный механизм для защиты данных от нежелательных запросов из других доменов. Он позволяет гибко управлять доступом к ресурсам, повышая безопасность API. Понимание работы CORS и правильная настройка его заголовков помогут вам защитить API и сделать его доступным только для доверенных источников.