Кросс-доменные запросы (CORS): защита от кражи данных в сети
Современные реалии таковы, что веб-ресурсам необходимо взаимодействовать между собой и обмениваться информацией. Но как при этом не нарушать политику безопасности браузера? Именно для этого используются кросс-доменные запросы (CORS).
CORS — это механизм, который позволяет веб-страницам делать запросы на другой домен, чем тот, с которого была загружена страница. Механизм CORS предназначен для защиты веб-приложений от атак, связанных с запросами к ресурсам на других доменах. Но злоумышленники могут обойти и его.
Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»:
«Основной способ обхода CORS кроется в некорректной его настройке. Очень часто разрешения выдаются из позиции наибольшей совместимости, а не из соображений строгой безопасности. Кроме этого, обойти CORS может помочь наличие уязвимостей XSS, или отправление кэша на стороне пользователя или сервера».