corsにいびきをかく

CORSについて話しましょう - 誰もがお気に入りの（または最もお気に入りの）Webセキュリティ機能。私は最近それに取り組んできましたが、それがブログ投稿を書くための私の手がかりです！

CORSのコアコンセプトは簡単です。クロスオリジンコードの実行を防ぎます。 css-tricks.com any-other-website.comからJavaScriptを取得しようとした場合、ブラウザはデフォルトでブロックします。コンソールエラー？うん、「許可されていない」。

例外？ターゲットWebサイトは、許可を明示的に付与するヘッダーを送信します。ドメインがホワイトリストに登録されているか、ワイルドカードを使用するとアクセスできます。ニュアンス（プリフライト、資格情報など）がありますが、MDNドキュメントはそれらをよくカバーしています。

CORSを使用した私の最大の頭痛は、一見一貫性のない行動に由来しています。 2つのリクエストが成功し、3番目のリクエストは失敗します。再現性がありますが、不可解です。 （たぶん、半分キャッシュされたヘッダーを備えたロードバランサー？誰が知っている！）またはプロキシが突然機能しなくなります。 CORSの問題を100以上に簡単にデバッグした時代のカウントを失いました。

最近のCORSの出会い：

• 人気のある「Cors in 6分」ビデオ（10,000のいいね！）が共通のソリューションを強調しました： npm install cors 。
• 正しいヘッダーでサーバーを構成する必要があります。 CloudFlareワーカーのビデオでこれを実証しました（ただし、CloudFlareワーカーはクールなクロスオリジンバイパスを提供しています）。
• ジェイク・アーチボルドの優れた「コースでの勝利方法」の記事、遊び場で完成しました。
• ブラウザ拡張機能（Firefox、Chrome）が存在し、CORSヘッダーを注入します。これは疑わしい開発の回避策ですが、ピンチでは理解できます。
• コンテンツを簡単にプロキシ（サードパーティのJavaScriptを含む）を簡単にプロキシを作成して、ファーストパーティにする以前の投稿。コメントは、このバイパスCORS保護を正しく指摘しました。サードパーティのリソースを完全に制御しない限り、危険です。

以上がcorsにいびきをかくの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。