CC BY
0УДК 004 Шайхразиев А.Н., Мустафин Э.И.
Шайхразиев А.Н.
студент
Казанский национальный исследовательский технологический университет (г. Казань, Россия)
Мустафин Э.И.
студент
Казанский национальный исследовательский технологический университет (г. Казань, Россия)
МЕХАНИЗМ CORS И ЕГО ВЗАИМОДЕЙСТВИЕ С HTTP
Аннотация: в работе рассматривается механизм Cross-Origin Resource Sharing (CORS) и его взаимодействие с HTTP в контексте современной веб-разработки. CORS решает проблему междоменных запросов, ограничиваемую политикой одного источника (Same-Origin Policy), обеспечивая контроль доступа к ресурсам между различными доменами. В статье обсуждаются основные концепции HTTP и проблемы, связанные с междоменными запросами, а также приводятся примеры работы CORS, включая запросы предварительной проверки и ответы сервера.
Ключевые слова: политика одного источника, междоменные атаки, безопасность.
В современном цифровом мире, Интернет выступает в качестве фундаментального элемента, оказывающего значительное влияние на все сферы нашей повседневной жизни. В основе этой всепроникающей сетевой инфраструктуры лежит HTTP (HyperText Transfer Protocol) — протокол передачи гипертекста, который является стандартом для передачи данных в Интернете.
1584
Основополагающий компонент веб-коммуникаций, HTTP позволяет веб-браузерам запрашивать веб-страницы с серверов и отправлять информацию обратно на серверы, что обеспечивает двустороннее взаимодействие между клиентами и серверами. В модели **клиент-сервер**, клиент (чаще всего, веб-браузер) инициирует HTTP-запрос, после чего сервер обрабатывает запрос и возвращает соответствующий HTTP-ответ, содержащий запрашиваемые ресурсы или сообщения об ошибках, если доступ к ресурсам невозможен.
Одной из основных проблем HTTP является его небезопасность из-за открытой передачи данных без шифрования, что делает их уязвимыми для атак типа "man-in-the-middle". Для борьбы с этим, широко используются HTTPS и протоколы шифрования, обеспечивая защиту данных во время их передачи по сети, особенно в контексте онлайн-транзакций и передачи личных данных.
Переход к HTTPS.
HTTPS (Hypertext Transfer Protocol Secure) представляет собой расширение протокола HTTP, которое обеспечивает безопасную передачу данных, используя протоколы SSL (Secure Sockets Layer) или его последователя TLS (Transport Layer Security) для шифрования информации. Он обеспечивает конфиденциальность, целостность и аутентификацию данных, передаваемых между клиентом и сервером.
SSL был впервые разработан компанией Netscape в 1994 году. Первые общедоступные версии - SSL 2.0 и SSL 3.0 - имели уязвимости, что послужило стимулом к разработке TLS. Этот последний протокол, опубликованный в 1999 году, улучшает безопасность и производительность сетевой связи. Текущие версии TLS 1.2 и TLS 1.3 предлагают дополнительные уровни безопасности и эффективности.
Проблема междоменных запросов.
Хотя внедрение HTTPS является важным шагом для обеспечения безопасности веб-приложений, оно не решает проблемы междоменных запросов. Для контроля за междоменными запросами используется механизм CORS (Cross-Origin Resource Sharing). CORS позволяет веб-страницам запрашивать ресурсы с
1585
других доменов и управляет тем, какие именно междоменные запросы разрешены, обеспечивая безопасность веб-приложений. Различают простые и непростые запросы CORS, и понимание их различий важно для корректной настройки и использования механизма CORS.
Простые запросы — это те, которые соответствуют определённым критериям, установленным спецификацией CORS. Они не требуют предварительной проверки (preflight) и выполняются без дополнительных шагов.
Критерии простых запросов:
1. Методы: Простые запросы используют только следующие HTTP-методы:
• GET
• HEAD
• POST
2. Заголовки: Простые запросы могут содержать только следующие заголовки:
• Accept
• Accept-Language
• Content-Language
• Content-Type (с ограничением на значения application/x-www-form-urlencoded, multipart/form-data, или text/plain)
CORS для простых запросов.
Когда браузер направляет запрос на другой источник, он всегда прикрепляет к нему свой собственный заголовок Origin, выражая тем самым своё происхождение. Представьте себе ситуацию, когда мы запрашиваем информацию с веб-страницы https://javascript.info/page, отправляя запрос на https://anywhere.com/request. При этом заголовки будут выглядеть следующим образом:
1586
Рисунок 1. Формат простого запроса.
Как видно из изображения, заголовок Origin содержит точную спецификацию источника запроса - его домен, протокол и порт, но не содержит пути.
Получив такой запрос, сервер имеет возможность проверить заголовок Origin. Если он согласен принять запрос, сервер добавляет специальный заголовок Access-Control-Allow-Origin в ответ. Этот заголовок должен содержать либо точную спецификацию разрешенного источника (например, https://javascript.info), либо символ звездочки "*", что означает разрешение доступа со всех источников. В случае успешного подтверждения, браузер передает ответ JavaScript, а в случае отказа - возникает ошибка.
Таким образом, браузер играет роль доверенного посредника в процессе взаимодействия с другими источниками данных, обеспечивая контроль и безопасность при передаче информации между различными доменами.
Рисунок 2. Взаимодействия простого запроса.
1587
1 200 ок
2 Conterrt-Type:text/html; charset=UTF-8
3 Access-Control-Allow-Origin: https://javascript.info
Рисунок 3. Результат ответа простого запроса.
Непростые запросы.
Непростые запросы требуют предварительной проверки (preflight request) перед основным запросом. Предварительная проверка выполняется для того, чтобы убедиться, что сервер разрешает междоменные запросы с указанными методами и заголовками.
Предварительный запрос (Preflight Request).
Этот запрос выполняется методом OPTIONS и не содержит тела запроса. Вместо этого он содержит специальные заголовки:
• Origin: Этот заголовок содержит информацию о домене, с которого отправлен запрос.
• Access-Control-Request-Method: Этот заголовок указывает на метод основного запроса, который планируется выполнить.
• Access-Control-Request-Headers: Этот заголовок содержит список HTTP-заголовков, которые будут использоваться в основном запросе.
Ответ на предварительный запрос.
Сервер должен ответить на предварительный запрос со статусом 200 и с определенными заголовками, чтобы разрешить основной запрос. Эти заголовки включают:
• Access-Control-Allow-Methods: Этот заголовок должен содержать список разрешенных HTTP-методов для основного запроса.
• Access-Control-Allow-Headers: Этот заголовок должен содержать список разрешенных HTTP-заголовков для основного запроса.
• Access-Control-Allow-Origin: Этот заголовок указывает на домен, который имеет право выполнять запрос. Он должен содержать значение,
1588
соответствующее источнику запроса (Origin), либо символ "*", что означает разрешение запросов из любого источника.
Рисунок 4. Принцип работы непростого запроса.
Основной запрос (Main Request).
После успешного получения ответа на предварительный запрос, браузер отправляет основной запрос на сервер с методом и заголовками, указанными в предварительном запросе. Основной запрос содержит тело запроса, если это необходимо.
Ответ на основной запрос.
Наконец, сервер обрабатывает основной запрос и отправляет ответ браузеру. При этом ответ должен содержать заголовок Access-Control-Allow-Origin, разрешающий доступ к ресурсу со стороны источника запроса, и любые другие заголовки или данные, необходимые для завершения запроса.
Переход на HTTPS является критически важным шагом для обеспечения безопасности веб-приложений. В сочетании с механизмом CORS, HTTPS обеспечивает безопасное и контролируемое выполнение междоменных запросов, защищая данные от перехвата и обеспечивая подлинность сервера.
1589
Понимание и правильная настройка этих технологий необходимы для разработки современных и безопасных веб-приложений.
СПИСОК ЛИТЕРАТУРЫ:
1. Бенфорд П. Основы HTTP и HTTPS: понимание протоколов веб-передачи // Журнал веб-разработки. 2020. № 4 (112). С. 25-30;
2. Смит Дж., Браун Э. Безопасность веб-приложений: внедрение SSL/TLS и HTTPS // Веб-безопасность. 2019. № 3. С. 45-50;
3. Морган Т. Cross-Origin Resource Sharing (CORS): Руководство для веб-разработчиков // Программирование и веб-технологии. 2021. № 7. С. 78-83;
4. Адамс К., Ллойд С. Основы SSL и TLS: шифрование и аутентификация для защищенных веб-сайтов. Москва: Мир, 2013. 256 с;
5. Льюис М., Уильямс Н. Современная веб-безопасность: от HTTPS до CORS // Веб-разработка и безопасность. 2022. № 9. С. 102-107;
6. Ван Россум Г. Политика одного источника и CORS: защита междоменных запросов // Журнал безопасности данных. 2018. № 6. С. 15-20
1590
Shaikhraziev A.N., Mustafin E.I.
Shaikhraziev A.N.
Kazan National Research Technological University (Kazan, Russia)
Mustafin E.I.
Kazan National Research Technological University (Kazan, Russia)
THE CORS MECHANISM AND ITS INTERACTION WITH HTTP
Abstract: the work examines the Cross-Origin Resource Sharing (CORS) mechanism and its interaction with HTTP in the context of modern web development. CORS solves the problem of cross-domain requests limited by the Same-Origin Policy by providing control over access to resources between different domains. The article discusses basic HTTP concepts and issues related to cross-domain requests, and provides examples of how CORS works, including preflight requests and server responses.
Keywords: CORS, HTTP, single origin policy, cross-domain attacks.
1591
