You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
-`*.site.com` – для разрешения доступа с любого поддомена `site.com`;
-`*` – для разрешения доступа отовсюду.
При использовании этого заголовка будьте осторожны, так как неправильная конфигурация приводит к уязвимостям безопасности. Например, если сервер отправляет `Access-Control-Allow-Origin: *`. Это означает, что любой `origin` получает доступ к ресурсам на сервере, что даёт возможность выполнять [атаки](/tools/web-security/), например, CSRF.
При использовании этого заголовка будьте осторожны, так как неправильная конфигурация приводит к уязвимостям безопасности. Например, если сервер отправляет `Access-Control-Allow-Origin: *`. Это означает, что любой `origin` получает доступ к ресурсам на сервере, что даёт возможность выполнять [атаки](/tools/web-security/), например, CSRF. Вместо `*` лучше явно задавать один или несколько `origin`, которым точно доверяете.
<aside>
🥷 CSRF расшифровывается как _cross-site request forgery_ или _межсайтовая подделка запроса_. Это вид атаки, когда злоумышленник получает доступ к данным из браузера другого человека и выполняет действия от его лица. Например, изменяет пароль от личного кабинета на сайте, где уже авторизован этот пользователь.
</aside>
## Важно помнить
Настройка CORS происходит как со стороны браузера, так и со стороны сервера. Нужно правильно настроить сервер, чтобы он возвращал нужные заголовки при запросах с других `origin`.
Не забывайте регулярно заглядывать в настройки CORS и обновлять их.
