{"time":1740746093042,"blocks":[{"id":"FOYa73Ypu9","type":"paragraph","data":{"text":"Когда речь идет о безопасности веб-приложений, настройка CORS (Cross-Origin Resource Sharing) и заголовков безопасности — один из первых шагов к защите данных и предотвращению атак. Однако ошибки в конфигурации могут привести к неприятным последствиям: от блокировки легитимных запросов до уязвимостей. Рассказываем, как грамотно настроить CORS и заголовки безопасности в ASP.NET, чтобы избежать проблем и сохранить баланс между защитой и функциональностью."}},{"id":"7YJBvI1rEp","type":"header2","data":{"text":"Что такое CORS?","level":2},"tunes":{}},{"id":"hc1wirAmG2","type":"paragraph","data":{"text":"Браузеры строго следят за безопасностью и запрещают кросс-доменные запросы, если они не разрешены сервером. Это называется политикой одного источника (Same-Origin Policy). Она защищает пользователей от кражи данных, но иногда мешает законным сценариям."}},{"id":"71b67586-cdb9-435b-ae93-fef2c1977344","type":"embed","data":{"data":{"id":253065,"name":"aws-fargate-i-ec2-sravnili-v-roli-luchwego-instrumenta-dlya-upravleniya-kontejnerami","type":"post","title":"AWS Fargate и EC2 сравнили в роли лучшего инструмента для управления контейнерами","author":94744,"parent":72711,"status":"publish","content":"

Amazon Web Services (AWS) предоставляет два основных варианта для управления контейнерами: EC2 и Fargate.

\r\n\r\n

Оба инструмента имеют свои преимущества и ограничения, а выбор между ними зависит от конкретных потребностей и приоритетов вашего проекта. Именно в этом вопросе и решили разобраться авторы блога Pulumi.

\r\n\r\n

AWS EC2 (Elastic Compute Cloud)

\r\n\r\n

EC2 предоставляет виртуальные серверы, на которых вы можете запускать контейнеры, предоставляя полный контроль над инфраструктурой.

\r\n\r\n

Это означает, что вы можете настраивать операционную систему, управлять масштабированием и оптимизировать производительность в соответствии с вашими требованиями. Однако такой уровень контроля требует значительных усилий по управлению и поддержке.

\r\n\r\n

AWS Fargate

\r\n\r\n

Fargate — это серверлесс-платформа, которая позволяет запускать контейнеры без необходимости управления серверами.

\r\n\r\n

Она автоматически масштабирует ресурсы в зависимости от нагрузки и освобождает вас от задач по управлению инфраструктурой. Это упрощает процесс развертывания и управления контейнерами, но может ограничивать возможности тонкой настройки и контроля.

\r\n\r\n

Ключевые различия

\r\n\r\n

Управление: EC2 требует ручного управления серверами, тогда как Fargate автоматизирует этот процесс.
Масштабирование: Fargate автоматически масштабирует ресурсы, в то время как в EC2 масштабирование необходимо настраивать вручную.
Контроль: EC2 предоставляет полный контроль над инфраструктурой, что может быть критически важным для специфических приложений. Fargate же ограничивает возможности настройки, предлагая более стандартизированный подход.
Стоимость: Fargate может быть более экономичным для небольших и средних нагрузок благодаря оплате только за используемые ресурсы. Однако при больших и постоянных нагрузках EC2 может оказаться более выгодным.

\r\n\r\n

Выбор между EC2 и Fargate

\r\n\r\n

Если ваш проект требует высокого уровня контроля над инфраструктурой и вы готовы инвестировать время и ресурсы в ее управление, EC2 может быть подходящим выбором.

\r\n\r\n

Если же вы стремитесь к упрощению процессов развертывания и управления контейнерами, предпочитая автоматизацию и минимизацию административных задач, Fargate станет оптимальным решением.

\r\n\r\n","created_at":"2024-11-21T06:19:38.000+03:00","updated_at":"2024-11-21T06:19:57.000+03:00","created_at_gmt":"2024-11-21T03:19:38.000+03:00","updated_at_gmt":"2024-11-21T03:19:57.000+03:00"},"link":"https://tproger.ru/news/aws-fargate-i-ec2-sravnili-v-roli-luchwego-instrumenta-dlya-upravleniya-kontejnerami","type":"tproger","image":null,"title":"AWS Fargate и EC2 сравнили в роли лучшего инструмента для управления контейнерами","subType":"tproger_post","viewDomain":"tproger.ru"}},{"id":"LcHySQilW-","type":"paragraph","data":{"text":"Например, ваше веб-приложение загружено с siteA.com, но данные хранятся на api.siteB.com. По умолчанию браузер блокирует такие запросы. Как же обойти это ограничение? Использовать CORS (Cross-Origin Resource Sharing)."}},{"id":"1rk1eHycRH","type":"paragraph","data":{"text":"CORS — механизм, который позволяет серверу явно указывать, какие домены, схемы и порты могут запрашивать у него данные. Работает через специальные HTTP-заголовки."}},{"id":"JDtQZsyUWJ","type":"paragraph","data":{"text":"Если браузер видит нестандартный запрос (например, PUT или DELETE), он сначала отправляет предварительный (preflight) запрос. Это проверка: серверу сообщают о запрашиваемом методе и заголовках, а тот решает — разрешить или запретить. Если сервер даёт добро, основной запрос выполняется."}},{"id":"TS6j2skuAB","type":"paragraph","data":{"text":"CORS — не обходной путь, а стандарт, утверждённый W3C. Без него современные веб-приложения не могли бы безопасно взаимодействовать друг с другом."}},{"id":"xmtC594wwn","type":"header2","data":{"text":"Какие есть источники: same-origin – different-origin","level":2},"tunes":{}},{"id":"PjHDZciCqk","type":"paragraph","data":{"text":"Два адреса (URL) имеют одинаковый источник (same-origin), если они оба принадлежат одному домену."}},{"id":"mYwtyGvCPU","type":"paragraph","data":{"text":"Здесь у адресов один источник:"}},{"id":"Onuq14UfaD","type":"list","data":{"style":"unordered","items":["https://test.com/index.html","https://test.com/about.html"]}},{"id":"dkfcHx6d8C","type":"paragraph","data":{"text":"А здесь — разные:"}},{"id":"WCPvyOQ9KE","type":"list","data":{"style":"unordered","items":["https://hello.net","https://www.hello.com/foo.html"]}},{"id":"PWexBpF4l4","type":"paragraph","data":{"text":"Так, если приложение обратится с адреса https://hello.net к странице https://www.hello.com/foo.html без настройки политики, то CORS запрос завершится ошибкой. Чтобы запрос обработался, мы должны сказать браузеру, что обращение к источнику https://www.hello.com разрешено."}},{"id":"gPl-myhB4F","type":"hint","data":{"text":"Пример кросс-доменного запроса: JavaScript фронтенд-код, загруженный с URL https://domain-a.com, использует метод fetch() для запроса JSON-файла с URL https://domain-b.com/data.json.","fullWidth":true}},{"id":"BzOpnHNplk","type":"paragraph","data":{"text":"CORS поддерживает безопасные кросс-доменные запросы — это снижает риски при использовании fetch() и XMLHttpRequest. Однако CORS лишь управляет разрешёнными междоменными запросами, но не гарантирует безопасность."}},{"id":"bWJZ1AeW9v","type":"header2","data":{"text":"Включение CORS в ASP.Net Core приложении","level":2},"tunes":{}},{"id":"K5OOiBCa4s","type":"paragraph","data":{"text":"Чтобы добавить механизм CORS в ASP.NET приложение, нужно:"}},{"id":"cJgsvye0zy","type":"list","data":{"style":"ordered","items":["Добавить сервисы CORS в контейнер сервисов приложения;","Включить промежуточное ПО CORS в конвейер обработки HTTP-запросов."]}},{"id":"8-M15g0jzK","type":"paragraph","data":{"text":"В первом шаге необходимо вызвать метод расширения AddCors для интерфейса IServiceCollection. Он добавляет в контейнер две сущности: ICorsService и ICorsPolicyProvider."}},{"id":"Pz3E0QQa5g","type":"code","data":{"code":"public static IServiceCollection AddCors(this IServiceCollection services)\n{\n ArgumentNullException.ThrowIfNull(services);\n\n services.AddOptions();\n\n services.TryAdd(ServiceDescriptor.Transient<ICorsService, CorsService>());\n services.TryAdd(ServiceDescriptor.Transient<ICorsPolicyProvider, DefaultCorsPolicyProvider>());\n\n return services;\n}\n","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"SyliYdaXyr","type":"paragraph","data":{"text":"Существует также перегруженная версия этого метода расширения, позволяющая сконфигурировать политику CORS:"}},{"id":"uOl0la-uRV","type":"code","data":{"code":"public static IServiceCollection AddCors(this IServiceCollection services, Action<CorsOptions> setupAction)","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"gZB_YZBi_C","type":"paragraph","data":{"text":"Во втором шаге вызывается метод расширения UseCors определенного для интерфейса IApplicationBuilder. "}},{"id":"Gno9WaeQt1","type":"code","data":{"code":"public static IApplicationBuilder UseCors(this IApplicationBuilder app)\n{\n ArgumentNullException.ThrowIfNull(app);\n\n\n return app.UseMiddleware<CorsMiddleware>();\n}\n","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"tGn_CpvZ40","type":"paragraph","data":{"text":"Этот метод добавляет промежуточное ПО CorsMiddleware в конвейер обработки HTTP-запросов. Для UseCors есть также перегруженная версия:"}},{"id":"BKz2ScxLNW","type":"code","data":{"code":"public static IApplicationBuilder UseCors(this IApplicationBuilder app, string policyName)","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"UfJY_jZSir","type":"paragraph","data":{"text":"Есть три способа подключения CORS:"}},{"id":"qyNp-J25kH","type":"list","data":{"style":"unordered","items":["В ПО промежуточного слоя с помощью именованной политики или политики по умолчанию.","Использование маршрутизации конечных точек.","С атрибутом [EnableCors]."]}},{"id":"CRpblv1oYj","type":"paragraph","data":{"text":"[EnableCors] с именованной политикой обеспечивает лучший контроль в ограничении конечных точек, поддерживающих CORS."}},{"id":"z9QFVST4ac","type":"header2","data":{"text":"CORS с именованной политикой и ПО промежуточного слоя","level":2},"tunes":{}},{"id":"YlmmcpIlRC","type":"paragraph","data":{"text":"ПО промежуточного слоя CORS обрабатывает запросы между источниками. Следующий код применяет политику CORS ко всем эндпоинтам с указанными источниками:"}},{"id":"3f_11-ctM-","type":"code","data":{"code":"// Объявляем название политики CORS\nconst string MyAllowedOrigins = \"_myAllowedOrigins\";\n\n\nvar builder = WebApplication.CreateBuilder(args);\n// Добавляем CORS в контейнер\nbuilder.Services.AddCors(options =>\n{\n options.AddPolicy(name: MyAllowedOrigins,\n policy =>\n {\n policy.WithOrigins(\"http://my-cdn1.com\",\n \"http://my-cdn2.com\");\n });\n});\n\n// services.AddResponseCaching();\n\nbuilder.Services.AddControllers();\n\nvar app = builder.Build();\napp.UseHttpsRedirection();\napp.UseStaticFiles();\napp.UseRouting();\n// Подключаем промежуточное ПО в конвейер\n// обработки запросов\napp.UseCors(MyAllowedOrigins);\n\n// app.UseResponseCaching();\n\n// app.UseEndpoints();\n\napp.MapControllers();\n\napp.Run();","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"Tzq3tOuq6w","type":"paragraph","data":{"text":"Пример кода выше — часть Program.cs, показывающая инициализацию WebApplication. В ней объявляется константа политики CORS — MyAllowedOrigins. Далее вызывается AddCors, в который через параметры передается имя политики и набор адресов разрешенных источников. Ниже есть вызов метода расширения UseCors, в который передано то же самое имя политики CORS."}},{"id":"57e0e5b6-c70c-4752-99c6-51c46e748eed","type":"embed","data":{"data":{"id":251007,"name":"okolo-3-mln-ios--i-macos-prilozhenij-mogli-byt-atakovany-cherez-10-letnyuyu--dyru-","type":"post","title":"Около 3 млн iOS- и macOS-приложений могли быть атакованы через 10-летнюю «дыру»","author":94744,"parent":72711,"status":"publish","content":"

В течение десятилетия в системе CocoaPods, которая используется для управления проектами на Swift и Objective-C, существовали уязвимости, которые позволяли хакерам вставлять вредоносный код в тысячи приложений для macOS и iOS.

\r\n\r\n

Эти уязвимости, устраненные в октябре прошлого года, могли поставить под угрозу безопасность миллионов пользователей.

\r\n\r\n

Уязвимости и их последствия

\r\n\r\n

Исследователи из EVA Information Security выявили три ключевые уязвимости:

\r\n\r\n

CVE-2024-38367: Уязвимость, связанная с манипуляцией URL в механизме проверки электронной почты, позволяла хакерам перенаправлять ссылки на свои серверы.
CVE-2024-38368: Возможность захвата управления над «осиротевшими» кодовыми пакетами, которые продолжают использоваться в приложениях, но оставлены их разработчиками.
CVE-2024-38366: Уязвимость, позволяющая выполнить код на сервере CocoaPods через инъекцию команд в процессе проверки адресов электронной почты.

\r\n\r\n

Пример уязвимости

\r\n\r\n

Одна из уязвимостей позволяла изменить URL для перенаправления пользователей на вредоносный сайт. Например, вместо обычного URL, который ведет на сервер CocoaPods:

\r\n\r\n

\n    https://cocoapods.org/sessions/verify?email=example@example.com&token=abcdef123456\n

\r\n\r\n

Хакеры могли изменить его на:

\r\n\r\n

\n    https://malicious-server.com/sessions/verify?email=example@example.com&token=abcdef123456\n

\r\n\r\n

Рекомендации по безопасности

\r\n\r\n

Разработчикам, использующим CocoaPods, рекомендуют следующее:

\r\n\r\n

Синхронизировать файл podfile.lock со всеми разработчиками, чтобы избежать автоматического обновления до потенциально опасных версий.
Выполнять проверку CRC (контрольной суммы) для внутренне разработанных подов.
Проводить тщательный обзор безопасности любого стороннего кода.
Проверять зависимости CocoaPods и избегать использования «осиротевших» подов.
Использовать сторонние зависимости, которые активно поддерживаются.
Проводить периодические проверки безопасности кода для выявления секретов и вредоносного кода.

\r\n\r\n","created_at":"2024-07-02T15:52:31.000+03:00","updated_at":"2024-07-02T15:52:31.000+03:00","created_at_gmt":"2024-07-02T12:52:31.000+03:00","updated_at_gmt":"2024-07-02T12:52:31.000+03:00"},"link":"https://tproger.ru/news/okolo-3-mln-ios--i-macos-prilozhenij-mogli-byt-atakovany-cherez-10-letnyuyu--dyru-","type":"tproger","image":null,"title":"Около 3 млн iOS- и macOS-приложений могли быть атакованы через 10-летнюю «дыру»","subType":"tproger_post","viewDomain":"tproger.ru"}},{"id":"B5Yh-TPc5g","type":"paragraph","data":{"text":"Важно:"}},{"id":"XEFS2KFAll","type":"list","data":{"style":"unordered","items":["URL в настройках CORS не должны заканчиваться на '/', иначе заголовки не вернутся.","При использовании ПО промежуточного слоя кэширования ответов (ResponseCaching) UseCors должен вызываться перед UseResponseCaching.","При использовании Endpoints настройте CORS для выполнения между вызовами UseRouting и UseEndpoints.","Обычно UseStaticFiles вызывается раньше UseCors, но если JavaScript загружает файлы, UseCors следует вызвать раньше."]}},{"id":"4mRbW20_My","type":"header2","data":{"text":"CORS с политикой по умолчанию и ПО промежуточного слоя","level":2},"tunes":{}},{"id":"N-GKEEOqHe","type":"paragraph","data":{"text":"Следующий выделенный код включает политику CORS по умолчанию:"}},{"id":"cOovWk9DWk","type":"code","data":{"code":"var builder = WebApplication.CreateBuilder(args);\n\nbuilder.Services.AddCors(options =>\n{\n options.AddDefaultPolicy(\n policy =>\n {\n policy.WithOrigins(\"http://remote.com\",\n \"http://www.cdn.com\");\n });\n});\n\nbuilder.Services.AddControllers();\n\nvar app = builder.Build();\n\napp.UseHttpsRedirection();\napp.UseStaticFiles();\napp.UseRouting();\n\napp.UseCors();\n\napp.UseAuthorization();\n\napp.MapControllers();\n\napp.Run();","language":"java","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"jyGO7yTNuc","type":"paragraph","data":{"text":"Разница по сравнению с предыдущим фрагментом кода в том, что здесь явно не указывается имя политики CORS. Предполагается, что она будет единственной, в то время как в предыдущем примере можно объявить несколько политик CORS, каждую со своими настройками."}},{"id":"cawt5M5O-J","type":"header3","data":{"text":"Включение CORS с маршрутизацией конечных точек","level":3},"tunes":{}},{"id":"M7XGTvTeIg","type":"paragraph","data":{"text":"Когда используется вызов UseEndpoints, можно подключить политику CORS к каждой отдельно взятой конечной точке, при этом можно указать имя применяемой политики в методе RequireCors:"}},{"id":"KRvKnQIx2Z","type":"code","data":{"code":"var MyAllowSpecificOrigins = \"_myAllowSpecificOrigins\";\n\nvar builder = WebApplication.CreateBuilder(args);\n\nbuilder.Services.AddCors(options =>\n{\n options.AddPolicy(name: MyAllowSpecificOrigins,\n policy =>\n {\n policy.WithOrigins(\"http://remote.com\",\n \"http://www.cdn.com\");\n });\n});\n\nbuilder.Services.AddControllers();\nbuilder.Services.AddRazorPages();\n\nvar app = builder.Build();\n\napp.UseHttpsRedirection();\napp.UseStaticFiles();\napp.UseRouting();\n\napp.UseCors();\n\napp.UseAuthorization();\n\napp.UseEndpoints(endpoints =>\n{\n endpoints.MapGet(\"/echo\",\n context => context.Response.WriteAsync(\"echo\"))\n .RequireCors(MyAllowSpecificOrigins);\n\n endpoints.MapControllers()\n .RequireCors(MyAllowSpecificOrigins);\n\n endpoints.MapGet(\"/echo2\",\n context => context.Response.WriteAsync(\"echo2\"));\n\n endpoints.MapRazorPages();\n});\n\napp.Run();","language":"java","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"JqjseNLt17","type":"paragraph","data":{"text":"В предыдущем коде:"}},{"id":"3Xlt__fUmn","type":"list","data":{"style":"unordered","items":["app.UseCors включает ПО промежуточного слоя CORS. Политики CORS привязываются к конечным точкам внутри метода UseEndpoints.","Конечные /echo точки и точки контроллера разрешают запросы между источниками с помощью указанной политики – MyAllowSpecificOrigins, переданной в RequireCors.","Конечные /echo2 точки и Razor страницы не разрешают запросы между источниками, так как политика по умолчанию не указана."]}},{"id":"DaUdte0aoB","type":"header3","data":{"text":"Включение CORS с помощью атрибутов","level":3},"tunes":{}},{"id":"FrmU11sCN9","type":"paragraph","data":{"text":"Атрибуты [EnableCors] позволяют подключить CORS только к конечным точкам, вместо глобальной настройки через промежуточное ПО. Плюс [EnableCors] без параметров включает политику CORS по умолчанию, а [EnableCors(\"{cors_policy_name}\")] — именованную политику. "}},{"id":"nqI_rAAOZ2","type":"paragraph","data":{"text":"Атрибут [EnableCors] можно применить к:"}},{"id":"rFqlDVVKpW","type":"list","data":{"style":"unordered","items":["Странице Razor Page;","Контроллеру целиком;","Методам действия контроллера (Action-methods)."]}},{"id":"EhYTbJLNDn","type":"paragraph","data":{"text":"Если CORS включён одновременно через атрибут и промежуточное ПО, применяются обе политики. "}},{"id":"swPCIcbQNx","type":"hint","data":{"text":"Microsoft не рекомендует смешивать способы подключения CORS. Рекомендуется в одном приложении либо применять атрибуты [EnableCors], либо использовать ПО промежуточного слоя.","fullWidth":true}},{"id":"63NK-Eqn8q","type":"paragraph","data":{"text":"Вот пример, как применить специфическую политику к каждому экшн-методу контроллера:"}},{"id":"Vp7139dZol","type":"code","data":{"code":"[Route(\"api/[controller]\")]\n[ApiController]\npublic class WidgetController : ControllerBase\n{\n // GET api/values\n [EnableCors(\"CorsPolicy1\")]\n [HttpGet]\n public ActionResult<IEnumerable<string>> Get()\n {\n return new string[] { \"green widget\", \"red widget\" };\n }\n\n // GET api/values/5\n [EnableCors(\"CorsPolicy2\")]\n [HttpGet(\"{id}\")]\n public ActionResult<string> Get(int id)\n {\n return id switch\n {\n 1 => \"green widget\",\n 2 => \"red widget\",\n _ => NotFound(),\n };\n }\n}\n","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"J3M9cA-3fG","type":"paragraph","data":{"text":"Здесь показано, как создать две именованные политики CORS:"}},{"id":"f9HBbRm2pS","type":"code","data":{"code":"var builder = WebApplication.CreateBuilder(args);\n\nbuilder.Services.AddCors(options =>\n{\n options.AddPolicy(\"Policy1\",\n policy =>\n {\n policy.WithOrigins(\"http://faraway.com\",\n \"http://www.cdn.com\");\n });\n\n options.AddPolicy(\"Policy2\",\n policy =>\n {\n policy.WithOrigins(\"http://www.cloud.com\")\n .AllowAnyHeader()\n .AllowAnyMethod();\n });\n});\n","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"RrPQTj2DQR","type":"paragraph","data":{"text":"Чтобы обеспечить лучшее управление ограничением CORS-запросов, стоит:"}},{"id":"DBZaaxah37","type":"list","data":{"style":"unordered","items":["применять атрибуты [EnbleCors(“{policy_name}”)] с именованной политикой;","не объявлять CORS-политику по умолчанию;","не использовать маршрутизацию конечных точек."]}},{"id":"a8iySoLZeK","type":"header2","data":{"text":"Как запретить CORS","level":2},"tunes":{}},{"id":"umdnYovSDh","type":"paragraph","data":{"text":"Запретить CORS для отдельных экшн-методов контроллера можно с помощью атрибута [DisableCors]."}},{"id":"ynmj7bTptn","type":"hint","data":{"text":"Примечание: атрибут [DisableCors] не запрещает CORS, которая была подключена при помощи методов расширения RequireCors в настройках маршрутизации конечных точек.","fullWidth":true}},{"id":"SWerOjGxi3","type":"paragraph","data":{"text":"Пример, как запретить CORS для экшн-метода GetValues2:"}},{"id":"xWM01Ic49d","type":"code","data":{"code":"[EnableCors(\"MyPolicy\")]\n[Route(\"api/[controller]\")]\n[ApiController]\npublic class ValuesController : ControllerBase\n{\n // GET api/values\n [HttpGet]\n public IActionResult Get() =>\n ControllerContext.MyDisplayRouteInfo();\n\n\n // GET api/values/5\n [HttpGet(\"{id}\")]\n public IActionResult Get(int id) =>\n ControllerContext.MyDisplayRouteInfo(id);\n\n\n // PUT api/values/5\n [HttpPut(\"{id}\")]\n public IActionResult Put(int id) =>\n ControllerContext.MyDisplayRouteInfo(id);\n // GET: api/values/GetValues2\n [DisableCors]\n [HttpGet(\"{action}\")]\n public IActionResult GetValues2() =>\n ControllerContext.MyDisplayRouteInfo();\n}\n","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"zYXcdjNUxH","type":"paragraph","data":{"text":"Обратите внимание, что политика CORS разрешена для всего контроллера, так как контроллер декорирован атрибутом [EnableCors(“MyPolicy”)], а экшн-метод GetValues2 — [DisableCors], значит, CORS-политика не будет применена к этому методу."}},{"id":"sg7QBiTtYR","type":"header2","data":{"text":"Параметры политики CORS","level":2},"tunes":{}},{"id":"VyPcMpR4uA","type":"header3","data":{"text":"Настройка разрешенных источников","level":3},"tunes":{}},{"id":"KIFyPN8OKq","type":"paragraph","data":{"text":"Есть два метода расширения для указания разрешенных источников:"}},{"id":"pYf5hxOyGQ","type":"list","data":{"style":"ordered","items":["WithOrigins — позволяет указать список разрешенных источников;","AllowAnyOrigin — разрешает CORS-запросы к любым источникам."]}},{"id":"eHroQKpAY8","type":"paragraph","data":{"text":"Они влияют на заголовок Access-Control-Allow-Origin предварительных запросов."}},{"id":"Dwsg1gV__k","type":"header3","data":{"text":"Настройка разрешенных HTTP методов","level":3},"tunes":{}},{"id":"0y2Ch3Rgco","type":"paragraph","data":{"text":"Для указания разрешенных HTTP-методов есть похожая на предыдущие пара методов:"}},{"id":"jlAWIlxcJY","type":"list","data":{"style":"ordered","items":["WithMethods — позволяет указать список разрешенных HTTP-методов;","AllowAnyMethod — разрешает использование любых HTTP-методов в CORS-запросах."]}},{"id":"PSNSGIAfqB","type":"paragraph","data":{"text":"Они тоже влияют на заголовок Access-Control-Allow-Methods preflight-запросов."}},{"id":"gyTyNifJIK","type":"header3","data":{"text":"Настройка разрешенных HTTP-заголовков","level":3},"tunes":{}},{"id":"pgHF6NGMq1","type":"paragraph","data":{"text":"Для указания разрешённых HTTP-заголовков используются:"}},{"id":"3jJLRfwp_0","type":"list","data":{"style":"unordered","items":["WithHeaders — задаёт список разрешённых заголовков,","AllowAnyHeader — разрешает любые заголовки."]}},{"id":"yOUTSx-DOd","type":"paragraph","data":{"text":"AllowAnyHeader влияет на preflight-запросы и заголовок Access-Control-Request-Headers. Если заголовок не разрешён в WithHeaders, запрос будет отклонён. Если сервер вернёт 200 OK, но без CORS-заголовков, браузер заблокирует cross-origin запрос."}},{"id":"Pa2fHbD-3u","type":"header3","data":{"text":"Настройка доступных заголовков ответов","level":3},"tunes":{}},{"id":"UBI6agzzJi","type":"paragraph","data":{"text":"По умолчанию браузер не предоставляет все заголовки ответов приложениям. По умолчанию предоставляются только:"}},{"id":"zFeABp2KL5","type":"list","data":{"style":"unordered","items":["Cache-Control","Content-Language","Content-Type","Expires","Last-Modified","Pragma"]}},{"id":"ufRHt5NKbb","type":"paragraph","data":{"text":"В спецификации CORS эти заголовки называются simple response headers. Чтобы сделать другие заголовки доступными для приложения, вызовите метод расширения WithExposedHeaders, передав массив имен заголовков в качестве параметра:"}},{"id":"hrOQqJN0zU","type":"code","data":{"code":"var builder = WebApplication.CreateBuilder(args);\n\nbuilder.Services.AddCors(options =>\n{\n options.AddPolicy(\"MyExposeResponseHeadersPolicy\",\n policy =>\n {\n policy.WithOrigins(\"https://*.example.com\")\n .WithExposedHeaders(\"x-custom-header\");\n });\n});\n\nbuilder.Services.AddControllers();\n\nvar app = builder.Build();","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"Graw_defvd","type":"header2","data":{"text":"Передача учетных данных в запросах между источниками","level":2},"tunes":{}},{"id":"Eu_Dmm44-q","type":"paragraph","data":{"text":"В CORS-запросах учетные данные нужно специально обрабатывать. Речь идет о cookie и схемах аутентификации HTTP. Чтобы отправить учетные данные в CORS-запросе, клиент должен выставить свойство XMLHttpRequest.withCredentials в значение true."}},{"id":"RVdXF-BU1i","type":"paragraph","data":{"text":"Пример использования XMLHttpRequest напрямую в коде JavaScript:"}},{"id":"3D0FnsKdFf","type":"code","data":{"code":"var xhr = new XMLHttpRequest();\nxhr.open('get', 'https://www.my-cloud.com/api/test');\nxhr.withCredentials = true;","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"QgmEpNqYoT","type":"paragraph","data":{"text":"Пример использования Fetch API:"}},{"id":"V0tODr2MW1","type":"code","data":{"code":"fetch('https://www.my-cloud.com/api/test', {\n credentials: 'include'\n});\n","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"V1-z12qmf-","type":"paragraph","data":{"text":"Сервер должен разрешить передачу учетных данных. Чтобы это сделать, вызовите метод расширения AllowCredentials:"}},{"id":"0q-PN3_yzK","type":"code","data":{"code":"var builder = WebApplication.CreateBuilder(args);\n\nbuilder.Services.AddCors(options =>\n{\n options.AddPolicy(\"MyMyAllowCredentialsPolicy\",\n policy =>\n {\n policy.WithOrigins(\"http://cdn.com\")\n .AllowCredentials();\n });\n});\n\nbuilder.Services.AddControllers();\n\nvar app = builder.Build();","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"o95rg8ORJJ","type":"paragraph","data":{"text":"В результате появится заголовок Access-Control-Allow-Credentials в ответе сервера, значит, он разрешил передачу данных. Если в ответе не будет этого заголовка, то браузер не предоставит ответ, и CORS-запрос завершится ошибкой."}},{"id":"XSWyHAFzwh","type":"hint","data":{"text":"Включение учетных данных в CORS-запросы — риск нарушения безопасности. Web-сайт из другого домена может отправить учетные данные аутентифицированного пользователя приложению от имени этого пользователя, но без его ведома.","fullWidth":true}},{"id":"npAqdVbNbM","type":"paragraph","data":{"text":"Спецификация CORS также говорит, что при использовании заголовков Access-Control-Allow-Credentials нельзя применять вызов AllowAnyOrigin при создании политики CORS."}},{"id":"rqUEvgmMaS","type":"header2","data":{"text":"Предварительные (preflight) запросы","level":2},"tunes":{}},{"id":"6PGHjNopH7","type":"paragraph","data":{"text":"Для некоторых CORS-запросов браузер отправляет preflight-запрос с HTTP-методом OPTIONS перед отправкой самого CORS. Браузер может не отправлять предварительный запрос в этих случаях:"}},{"id":"wEERD21R66","type":"list","data":{"style":"unordered","items":["HTTP-метод основного CORS-запроса один из GET, HEAD или POST;","Приложение не добавляет в запрос заголовки, кроме Accept, Accept-Language, Content-Language, Content-Type, Last-Event-ID;","Запрос содержит заголовок Content-Type, то у него должно быть одно из значений: application/x-www-form-urlencoded, multipart/form-data, text/plain"]}},{"id":"hY025MW2_r","type":"paragraph","data":{"text":"Эти правила применяются к авторским заголовкам, которые задаются вызовом setRequestHeader объекта XMLHttpRequest. С User-Agent, Host, или Content-Length (заголовками браузера) так не работает."}},{"id":"DdwXNLXx3m","type":"paragraph","data":{"text":"У Preflight-запроса могут быть такие заголовки:"}},{"id":"0DemC30wPL","type":"list","data":{"style":"unordered","items":["Access-Control-Request-Method — HTTP-метод ( в основном CORS-запросе);","Access-Control-Request-Headers — набор заголовков, которые будут установлены приложением в основном запросе."]}},{"id":"gCA_i94qOz","type":"paragraph","data":{"text":"Если предварительный запрос отклоняется сервером, то вылезет код 200 ОК, и браузер не будет пытаться отправлять CORS. При отладке в браузере (F12 tools) в консоли приложения появятся ошибки, если preflight-запрос отклонится сервером. "}},{"id":"NXIRRsvCpH","type":"paragraph","data":{"text":"Чтобы разрешить передачу только определенных заголовков, вызывайте WithHeaders:"}},{"id":"YDrPPJKlZF","type":"code","data":{"code":"using Microsoft.Net.Http.Headers;\n\nvar builder = WebApplication.CreateBuilder(args);\n\nbuilder.Services.AddCors(options =>\n{\n options.AddPolicy(\"MyAllowHeadersPolicy\",\n policy =>\n {\n policy.WithOrigins(\"http://store.com\")\n .WithHeaders(HeaderNames.ContentType, \"x-custom-header\");\n });\n});\n\nbuilder.Services.AddControllers();\n\nvar app = builder.Build();","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"jI1Yk1LkwB","type":"paragraph","data":{"text":"Чтобы разрешить передачу всех авторских заголовков, используйте вызов AllowAnyHeader."}},{"id":"xZdXzsEvaO","type":"header2","data":{"text":"Автоматическая обработка предварительных запросов","level":2},"tunes":{}},{"id":"dOn7SHywe5","type":"paragraph","data":{"text":"Если политика CORS применяется с помощью одного из приведенных ниже способов:"}},{"id":"2jRKPIBb5N","type":"list","data":{"style":"unordered","items":["глобально, с помощью вызова app.UseCors в модуле Program.cs;","с помощью атрибута [EnableCors],"]}},{"id":"8K3Gww6iMa","type":"paragraph","data":{"text":"то ASP.NET будет автоматически обрабатывать запросы OPTIONS."}},{"id":"dqAqgZp1AL","type":"header3","data":{"text":"Обработка предварительных запросов с помощью атрибута [HttpOptions]","level":3},"tunes":{}},{"id":"C-SAYj0BtX","type":"paragraph","data":{"text":"В ASP.NET предусмотрена возможность явного объявления методов для обработки предварительных запросов. Вот пример, как создать методы для обработки OPTIONS-запросов с [HttpOptions]:"}},{"id":"31IcBCB_mf","type":"code","data":{"code":"[Route(\"api/[controller]\")]\n[ApiController]\npublic class TodoItems2Controller : ControllerBase\n{\n // OPTIONS: api/TodoItems2/5\n [HttpOptions(\"{id}\")]\n public IActionResult PreflightRoute(int id)\n {\n return NoContent();\n }\n\n // OPTIONS: api/TodoItems2 \n [HttpOptions]\n public IActionResult PreflightRoute()\n {\n return NoContent();\n }\n . . .\n}\n","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"FDThBqRFpY","type":"header3","data":{"text":"Установка срока действия ответов для предварительных запросов","level":3},"tunes":{}},{"id":"lzRsA3OlxZ","type":"paragraph","data":{"text":"Браузер может закэшировать preflight-запросы, чтобы снизить нагрузку на сервер и сократить время обработки основных CORS-запросов. Чтобы ограничить срок хранения ответов в кэше, используйте заголовок Access-Control-Max-Age в ответе prefligh-запроса. Для этого при инициализации CORS-политики вызовите метод SetPreflightMaxAge:"}},{"id":"YywpXGzVri","type":"code","data":{"code":"var builder = WebApplication.CreateBuilder(args);\n\nbuilder.Services.AddCors(options =>\n{\n options.AddPolicy(\"MySetPreflightExpirationPolicy\",\n policy =>\n {\n policy.WithOrigins(\"http://outer.com\")\n .SetPreflightMaxAge(TimeSpan.FromSeconds(300));\n });\n});\n\nbuilder.Services.AddControllers();\n\nvar app = builder.Build();","language":"javascript","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"U9vJihrwh0","type":"paragraph","data":{"text":"CORS позволяет обращаться к ресурсам на других доменах, но требует аккуратной настройки, чтобы не сломать безопасность."}},{"id":"HOdVJHQOIk","type":"paragraph","data":{"text":"В примерах выше CORS-политики определялись в коде приложения, но в проде такой подход не всегда удобен. При переносе на другой хостинг или смене окружения настройки лучше вынести в конфигурацию сервера или прокси. Это упростит поддержку и адаптацию без правок в коде."}},{"id":"R1nt83VOUr","type":"header3","data":{"text":"Полезные ссылки","level":3},"tunes":{}},{"id":"kHxq6d59Xv","type":"paragraph","data":{"text":"Cross-Origin Resource Sharing (CORS) - HTTP | MDN"}},{"id":"D0LgbbD5ve","type":"paragraph","data":{"text":"Enable Cross-Origin Requests (CORS) in ASP.NET Core | Microsoft Learn"}},{"id":"gjhYwh6_uv","type":"paragraph","data":{"text":"Больше про .NET — в нашем тг канале!"}}],"version":"2.25.0"}

Ошибка в настройках сайта