Современные реалии таковы, что веб-ресурсам необходимо взаимодействовать между собой и обмениваться информацией. Но как при этом не нарушать политику безопасности браузера? Именно для этого используются кросс-доменные запросы (CORS).

CORS — это механизм, который позволяет веб-страницам делать запросы на другой домен, чем тот, с которого была загружена страница. Механизм CORS предназначен для защиты веб-приложений от атак, связанных с запросами к ресурсам на других доменах. Но злоумышленники могут обойти и его.

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»:

«Основной способ обхода CORS кроется в некорректной его настройке. Очень часто разрешения выдаются из позиции наибольшей совместимости, а не из соображений строгой безопасности. Кроме этого, обойти CORS может помочь наличие уязвимостей XSS, или отправление кэша на стороне пользователя или сервера».

Статья в СМИ

Вконтакте | YouTube | Телеграм