Автор разбирает распространенные заблуждения о CORS. Автор любит задавать каверзный вопрос на собеседовании: является ли CORS механизмом защиты сервера или браузера? Правильный ответ - браузера. Сервер вообще не проверяет источник запроса и спокойно выполняет его, а браузер лишь решает, отдавать ли пришедший ответ JavaScript-коду.
Работает это так: браузер добавляет заголовок Origin к кросс-доменным запросам, а при получении ответа ищет заголовок Access-Control-Allow-Origin, и если источники не совпадают - просто выбрасывает ответ, хотя запрос уже дошел до сервера и был обработан. Для "непростых" запросов сначала отправляется предварительный OPTIONS-запрос.
Реальная угроза, от которой защищает CORS, требует одновременно браузера жертвы и ее активной сессии: вредоносный сайт может отправить запрос с cookie жертвы к банку, но браузер не даст злоумышленнику прочитать ответ с балансом. При этом важно, что CORS не защищает от CSRF: если атака не требует чтения ответа, запрос все равно доходит до сервера и наносит ущерб, а блокировка ответа уже бесполезна
18.07.2026
Похожее
12.07.2026
SSH порт форвардинг
Туториал наглядно разбирает все режимы SSH-туннелирования. А их не так мало: лок...
08.07.2026
Финтех заметки
Fintech Engineering Handbook - это практическое руководство по разработке надежн...
21.06.2026
Каждый байт важен
Наконец-то статья не про этих ваших агентов, а про старые добрые байты. Автор...
09.06.2026
Как работает интернет
Туториал объясняет, как работают TCP-серверы, начиная с теории - что такое сокет...