CORS-tõrgete mõistmine jQuerys, kuid mitte Postmanis

CORS-tõrgete mõistmine jQuerys, kuid mitte Postmanis
Arthur Petit
Neljapäev, 4. juuli 2024 09:37:11
JavaScript

Miks tekivad brauserites CORS-i vead?

Kui töötate JavaScriptiga RESTful API-ga ühenduse loomiseks, võite ilmneda tõrketeade „Taotletud ressursil puudub päis „Access-Control-Allow-Origin”. See tõrge ilmneb tavaliselt brauseri sama päritolu poliitika tõttu, mis piirab veebilehtedel taotluste esitamist teisele domeenile kui see, mis veebilehte teenindas.

Huvitav on see, et kui sama taotlus esitatakse selliste tööriistade kaudu nagu Postman, siis sellist viga ei esine. See erinevus võib arendajatele hämmingut tekitada. Tõrkeotsingu ja turvaliste veebirakenduste arendamise jaoks on oluline mõista, miks CORS blokeerib XMLHttpRequesti või Fetch kõned brauseris, kuid mitte Postmanis.

CORS-i probleemide lahendamine JavaScriptis Flaski taustaprogrammiga

JavaScripti kasutajaliidese kood jQuery abil

// JavaScript (jQuery) frontend script
$(document).ready(function() {
  $("#loginButton").click(function() {
    $.ajax({
      type: 'POST',
      dataType: 'json',
      url: 'http://localhost:5000/login',
      data: JSON.stringify({
        username: 'user',
        password: 'pass'
      }),
      contentType: 'application/json',
      crossDomain: true,
      xhrFields: {
        withCredentials: true
      }
    }).done(function(data) {
      console.log('Login successful');
    }).fail(function(xhr, textStatus, errorThrown) {
      alert('Error: ' + xhr.responseText);
    });
  });
});

CORS-i seadistamine kolvis

Pythoni taustakood Flaski abil

# Python (Flask) backend script
from flask import Flask, request, jsonify
from flask_cors import CORS

app = Flask(__name__)
CORS(app, supports_credentials=True)

@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    username = data.get('username')
    password = data.get('password')

    if username == 'user' and password == 'pass':
        return jsonify({'message': 'Login successful'}), 200
    else:
        return jsonify({'message': 'Invalid credentials'}), 401

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000)

CORS-i probleemide lahendamine JavaScriptis Flaski taustaprogrammiga

JavaScripti kasutajaliidese kood jQuery abil

// JavaScript (jQuery) frontend script
$(document).ready(function() {
  $("#loginButton").click(function() {
    $.ajax({
      type: 'POST',
      dataType: 'json',
      url: 'http://localhost:5000/login',
      data: JSON.stringify({
        username: 'user',
        password: 'pass'
      }),
      contentType: 'application/json',
      crossDomain: true,
      xhrFields: {
        withCredentials: true
      }
    }).done(function(data) {
      console.log('Login successful');
    }).fail(function(xhr, textStatus, errorThrown) {
      alert('Error: ' + xhr.responseText);
    });
  });
});

CORS-i seadistamine kolvis

Pythoni taustakood Flaski abil

# Python (Flask) backend script
from flask import Flask, request, jsonify
from flask_cors import CORS

app = Flask(__name__)
CORS(app, supports_credentials=True)

@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    username = data.get('username')
    password = data.get('password')

    if username == 'user' and password == 'pass':
        return jsonify({'message': 'Login successful'}), 200
    else:
        return jsonify({'message': 'Invalid credentials'}), 401

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000)

Miks tekivad CORS-i probleemid brauserites ja mitte Postmanis?

Üks ülioluline aspekt, mida ressursside ristülese jagamise (CORS) puhul mõista, on turvamehhanism, mida brauserid kasutajate kaitsmiseks rakendavad. Brauserid jõustavad sama päritolupoliitikat, mis takistab veebilehtedel taotlusi esitamast teisele domeenile kui see, mis veebilehte teenindas. See on turvameede, mis takistab pahatahtlikel veebisaitidel JavaScripti kaudu juurdepääsu tundlikule teabele teistel veebisaitidel. Kui teete XMLHttpRequesti või hankite brauserist päringu, kontrollib see 'Access-Control-Allow-Origin' serveri vastuse päis. Kui seda päist pole või see ei luba päringu päritolu, blokeerib brauser päringu, mille tulemuseks on CORS-tõrge.

Postman seevastu pole brauser, vaid tööriist API-de testimiseks. See ei jõusta sama päritolu poliitikat, kuna see ei tööta brauseri keskkonnas. Seetõttu ei teosta see samu turvakontrolle ja võimaldab piiranguteta päringuid teha mis tahes domeenile. Seetõttu ei teki Postmani kasutamisel sama päringu esitamiseks CORS-i probleeme. Selle erinevuse mõistmine on CORS-iga seotud probleemide tõhusaks tõrkeotsinguks ja lahendamiseks väga oluline. Kui konfigureerite serveri nii, et see hõlmaks sobivaid CORS-päiseid, saate tagada, et teie veebirakendus suudab väliste API-dega turvaliselt ja vigadeta suhelda.

Levinud küsimused ja vastused CORSi ja JavaScripti kohta

  1. Mis on CORS?
  2. CORS tähistab Cross-Origin Resource Sharing – mehhanismi, mis võimaldab veebilehe piiratud ressursse taotleda teisest domeenist väljaspool domeeni, kust ressurss pärines.
  3. Miks rakendavad brauserid sama päritolu poliitikat?
  4. Sama päritolu poliitikat rakendatakse selleks, et kaitsta kasutajate andmeid ja takistada pahatahtlikel veebisaitidel JavaScripti kaudu juurdepääsu teistest domeenidest pärinevale tundlikule teabele.
  5. Miks Postimees CORS-i ei jõusta?
  6. Postman ei jõusta CORS-i, kuna see ei ole brauser ja ei tööta brauseri keskkonnas, seega ei pea see järgima sama päritolu poliitikat.
  7. Kuidas saan oma veebirakenduses CORS-i tõrke lahendada?
  8. CORS-i tõrke lahendamiseks konfigureerige server sobivat lisama 'Access-Control-Allow-Origin' vastuse päis, lubades päringu päritolu.
  9. Mida teeb 'Access-Control-Allow-Origin' päis teha?
  10. The 'Access-Control-Allow-Origin' päis määrab, millistel lähtekohtadel on lubatud ressursile juurde pääseda, võimaldades lähtekohaüleseid päringuid.
  11. Mis on eesmärk withCredentials XMLHttpRequestis?
  12. The withCredentials atribuut näitab, kas saidiüleseid juurdepääsukontrolli taotlusi tuleks teha mandaatide (nt küpsised või autoriseerimispäised) abil.
  13. Miks ma saan CORS-i tõrketeate, kuigi minu server sisaldab 'Access-Control-Allow-Origin' päis?
  14. Kui muud nõutavad CORS-päised, nt 'Access-Control-Allow-Methods' või 'Access-Control-Allow-Headers', puuduvad või on valesti konfigureeritud.
  15. Kas ma saan oma brauseris CORS-i keelata?
  16. CORS-i keelamine brauseris ei ole soovitatav, kuna see seab ohtu turvalisuse. Selle asemel konfigureerige oma server CORS-i õigesti käsitlema.
  17. Mis on CORSis lennueelne taotlus?
  18. Eelkontrolli päring on esialgne päring, mille brauser teeb OPTIONS-meetodi abil, et teha kindlaks, kas tegelik päring on saatmiseks ohutu. See kontrollib, kas serveris on nõutavad CORS-päised.

Arutelu kokkuvõte

CORS-i ja sama päritolupoliitika nüansside mõistmine on veebiarendajate jaoks hädavajalik. Kuigi brauserid rakendavad kasutajate kaitsmiseks rangeid turvameetmeid, eiravad sellised tööriistad nagu Postman neid piiranguid, muutes API-de testimise lihtsamaks. Kui konfigureerite taustaprogrammi õigesti koos vajalike CORS-päistega, saavad arendajad tagada sujuva ja turvalise suhtluse eessüsteemi ja taustaprogrammi vahel. CORS-i probleemide lahendamine on funktsionaalsete ja kasutajasõbralike veebirakenduste loomisel ülioluline.