डेव्हलपर्सना CORS का समजत नाही?

Translated for your language. Read the original.

AI-assisted draft.

GyaanSetu Editorial१२ तासांपूर्वी1min read

डेव्हलपर्सना CORS का समजत नाही

CORS हे वेब डेव्हलपमेंटमधील सर्वात जास्त गैरसमज असलेले सुरक्षा साधन (security tool) आहे. अनेक डेव्हलपर्सना वाटते की ते त्यांच्या सर्व्हरचे संरक्षण करते. पण तसे नाही.

CORS वापरकर्त्याचे (user) संरक्षण करते.

ब्राउझर 'Same-Origin Policy' (SOP) लागू करतो. ही पॉलिसी एखाद्या घातक (malicious) साईटला तुमच्या वतीने दुसऱ्या साईटला विनंती (request) पाठवण्यापासून रोखते. CORS ही केवळ एक पद्धत आहे ज्याद्वारे सर्व्हर ब्राउझरला विशिष्ट साईट्ससाठी तो नियम शिथिल करण्यास सांगतो.

जर तुमची विनंती Postman मध्ये काम करत असेल पण ब्राउझरमध्ये अयशस्वी होत असेल, तर तुम्हाला CORS ची समस्या आहे. Postman हा ब्राउझर नाही, त्यामुळे तो हे नियम लागू करत नाही.

तुम्ही टाळल्या पाहिजेत अशा काही सामान्य चुका:

CORS चा वापर केवळ सुरक्षा म्हणून करणे. CORS हे ऑथेंटिकेशन (authentication) नाही. तुम्हाला अजूनही टोकन्स (tokens), पासवर्ड आणि रेट लिमिटिंगची (rate limiting) गरज आहे.
वाइल्डकार्ड ट्रॅप (wildcard trap). जर तुम्हाला कुकीज (cookies) किंवा क्रेडेंशियल्स (credentials) पाठवायचे असतील, तर तुम्ही Access-Control-Allow-Origin: * वापरू शकत नाही. तुम्हाला नेमका डोमेन (domain) नमूद करावा लागेल.
प्रीफ्लाइट विनंत्यांकडे (preflight requests) दुर्लक्ष करणे. अनेक API कॉल्स करण्यापूर्वी ब्राउझर आपोआप OPTIONS विनंती पाठवतात. जर तुमच्या सर्व्हरने OPTIONS ब्लॉक केले, तर तुमची प्रत्यक्ष विनंती अयशस्वी होईल.
एरर हेडरची (error headers) कमतरता. जर तुमच्या API ने CORS हेडरशिवाय 401 किंवा 500 एरर परत केला, तर ब्राउझर खरा एरर लपवतो. तुम्हाला फक्त एक सामान्य CORS संदेश दिसेल.

हे कसे सुधारावे:

OPTIONS विनंत्या हाताळा. तुमच्या सर्व्हरने प्रीफ्लाइट कॉल्ससाठी 200 किंवा 204 स्टेटस परत केल्याची खात्री करा.
मिडलवेअर (middleware) वापरा. CORS मिडलवेअर लेव्हलवर कॉन्फिगर करा जेणेकरून ते एररसह सर्व प्रतिसादांचा (responses) समावेश करेल.
Vary हेडर सेट करा. जर तुम्ही डायनॅमिकली अनेक ओरिजिनला परवानगी देत असाल, तर तुम्हाला तुमच्या प्रतिसादात Vary: Origin जोडणे आवश्यक आहे.
योग्य साधनांचा वापर करा. Node.js साठी, cors पॅकेज वापरा. Django साठी, django-cors-headers वापरा.

ब्राउझर एक्सटेंशन्स वापरून CORS बायपास करण्याचा प्रयत्न करणे थांबवा. त्याऐवजी तुमच्या सर्व्हरचे कॉन्फिगरेशन सुधारा.

Source: https://dev.to/onsen/why-developers-dont-understand-cors-and-how-to-fix-it-19d5

Optional learning community: https://t.me/GyaanSetuAi

𝗠𝘆 𝗙𝗶𝗿𝘀𝘁 𝗖𝗢𝗥𝗦 𝗘𝗿𝗿𝗼𝗿 𝗜𝗻 𝗙𝗮𝘀𝘁𝗔𝗣𝗜

𝗠𝘆 𝗙𝗶𝗿𝘀𝘁 𝗖𝗢𝗥𝗦 𝗘𝗿𝗿𝗼𝗿 𝗜𝗻 𝗙𝗮𝘀𝘁𝗔𝗣𝗜 I learn by building. I built an expense tracker. I used FastAPI for the backend. I used HTML and JavaScript for the fronten…

WebDev ३ आठवड्यांपूर्वी · 1 min read

𝗖𝗹𝗼𝘂𝗱 𝗔𝗿𝗰𝗵𝗶𝘁𝗲𝗰𝘁𝘂𝗿𝗲 𝗮𝗻𝗱 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆: 𝗧𝗵𝗲 𝗡𝗲𝘅𝘁 𝗟𝗲𝘃𝗲𝗹 𝗳𝗼𝗿 𝗗𝗲𝘃𝗲𝗹𝗼𝗽𝗲𝗿𝘀

𝗖𝗹𝗼𝘂𝗱 𝗔𝗿𝗰𝗵𝗶𝘁𝗲𝗰𝘁𝘂𝗿𝗲 𝗮𝗻𝗱 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆: 𝗧𝗵𝗲 𝗡𝗲𝘅𝘁 𝗟𝗲𝘃𝗲𝗹 𝗳𝗼𝗿 𝗗𝗲𝘃𝗲𝗹𝗼𝗽𝗲𝗿𝘀 Your web application works on your local machine. You think the…

WebDev ६ दिवसांपूर्वी · 2 min read

localhost मुळे अजूनही CORS एरर्स का येतात?

localhost मुळे अजूनही CORS एरर्स का येतात? तुम्ही तुमचे frontend localhost:3000 वर चालवता. तुम्ही तुमचे backend localhost:5000 वर चालवता. दोन्ही ॲप्स तुमच्या...

WebDev ३ दिवसांपूर्वी · 1 min read

𝟰𝟬𝟭 𝗨𝗻𝗮𝘂𝘁𝗵𝗼𝗿𝗶𝘇𝗲𝗱: 𝗛𝗼𝘄 𝘁𝗼 𝗳𝗶𝘅 𝗶𝘁

𝟰𝟬𝟭 𝗨𝗻𝗮𝘂𝘁𝗵𝗼𝗿𝗶𝘇𝗲𝗱: 𝗛𝗼𝘄 𝘁𝗼 𝗳𝗶𝘅 𝗶𝘁 A 401 error means the server does not know who you are. It is different from a 403 error. A 403 means you are recognized b…

WebDev २ दिवसांपूर्वी · 1 min read

तुमचे SaaS पैसे गळवून टाकत आहे

तुमचे SaaS पैसे गळवून टाकत आहे. बहुतेक डेव्हलपर्स त्यांचे SaaS लाँच करतात आणि पुढे निघून जातात. ते सुरक्षेला नंतर करायच्या कामासारखे समजतात. ते खरे वापरकर्ते किंवा खरे पैसे येण्याची वाट पाहतात...

WebDev १ तासापूर्वी · 2 min read