Skip to content

Commit

Permalink
Apply suggestions from code review
Browse files Browse the repository at this point in the history
Co-authored-by: Tatiana Fokina <[email protected]>
  • Loading branch information
solarrust and TatianaFokina authored Jul 20, 2024
1 parent 518e863 commit ba3c2b5
Showing 1 changed file with 9 additions and 1 deletion.
10 changes: 9 additions & 1 deletion tools/cors/index.md
Original file line number Diff line number Diff line change
Expand Up @@ -92,8 +92,16 @@ Access-Control-Allow-Origin: doka.guide github.com stackoverflow.com
- `*.site.com` – для разрешения доступа с любого поддомена `site.com`;
- `*` – для разрешения доступа отовсюду.

При использовании этого заголовка будьте осторожны, так как неправильная конфигурация приводит к уязвимостям безопасности. Например, если сервер отправляет `Access-Control-Allow-Origin: *`. Это означает, что любой `origin` получает доступ к ресурсам на сервере, что даёт возможность выполнять [атаки](/tools/web-security/), например, CSRF.
При использовании этого заголовка будьте осторожны, так как неправильная конфигурация приводит к уязвимостям безопасности. Например, если сервер отправляет `Access-Control-Allow-Origin: *`. Это означает, что любой `origin` получает доступ к ресурсам на сервере, что даёт возможность выполнять [атаки](/tools/web-security/), например, CSRF. Вместо `*` лучше явно задавать один или несколько `origin`, которым точно доверяете.

<aside>

🥷 CSRF расшифровывается как _cross-site request forgery_ или _межсайтовая подделка запроса_. Это вид атаки, когда злоумышленник получает доступ к данным из браузера другого человека и выполняет действия от его лица. Например, изменяет пароль от личного кабинета на сайте, где уже авторизован этот пользователь.

</aside>

## Важно помнить

Настройка CORS происходит как со стороны браузера, так и со стороны сервера. Нужно правильно настроить сервер, чтобы он возвращал нужные заголовки при запросах с других `origin`.

Не забывайте регулярно заглядывать в настройки CORS и обновлять их.

0 comments on commit ba3c2b5

Please sign in to comment.