Как ограничить выполнение запросов на нежелательные домены?

Что такое CORS и зачем он нужен?

CORS (Cross-Origin Resource Sharing) — это механизм безопасности, реализованный в браузерах, который контролирует доступ к ресурсам с других доменов. По умолчанию браузеры блокируют HTTP-запросы, инициированные скриптами с одного домена к другому (политика same-origin). CORS позволяет серверу явно разрешить такие запросы.

Как это работает?

Когда браузер отправляет кросс-доменный запрос, он сначала отправляет предварительный запрос (preflight) с методом OPTIONS. Сервер отвечает заголовками, указывающими разрешенные методы, заголовки и источники. Если ответ соответствует политике, браузер выполняет основной запрос.

Пример настройки на сервере (Node.js с Express):

const express = require('express');
const app = express();

app.use((req, res, next) => {
  res.setHeader('Access-Control-Allow-Origin', 'https://trusted-site.com');
  res.setHeader('Access-Control-Allow-Methods', 'GET, POST');
  res.setHeader('Access-Control-Allow-Headers', 'Content-Type');
  if (req.method === 'OPTIONS') {
    return res.sendStatus(200);
  }
  next();
});

app.get('/data', (req, res) => {
  res.json({ message: 'Доступ разрешен' });
});

app.listen(3000);

Дополнительные меры защиты

• Используйте CSRF-токены для защиты от подделки запросов.
• Ограничьте методы и заголовки, которые разрешены.
• Не используйте звездочку (*) в Access-Control-Allow-Origin для критичных данных.

Вывод: CORS — это стандартный механизм для безопасного взаимодействия между разными доменами. Его правильная настройка предотвращает утечку данных и несанкционированный доступ.