Tech

CORS jelentése és működése a webfejlesztésben: Cross-Origin Resource Sharing alapok és tippek

By Beostech
12 perc olvasás
Egy férfi programozás közben, laptopján kódot ír, háttérben monitorral.
A férfi a kódolásra összpontosít, miközben a technológia világában dolgozik.

A modern webes alkalmazások fejlesztése során minden programozó szembesül olyan helyzetekkel, amikor különböző domainek között kell adatot cserélni. Ez a látszólag egyszerű feladat azonban komoly biztonsági kihívásokat rejt magában, és itt lép képbe a CORS mechanizmus. A böngészők beépített védelmi rendszere sokszor okoz fejfájást a fejlesztőknek, amikor API-hívások váratlanul elutasításra kerülnek.

Tartalom

A Cross-Origin Resource Sharing egy W3C szabvány, amely lehetővé teszi a webes alkalmazások számára, hogy biztonságosan kommunikáljanak más domaineken található erőforrásokkal. Ez a mechanizmus egyszerre biztosítja a rugalmasságot és a biztonságot a modern web ökoszisztémában. A következőkben részletesen megvizsgáljuk, hogyan működik ez a rendszer, milyen kihívásokkal találkozhatunk, és hogyan oldhatjuk meg a felmerülő problémákat.

Ebben az útmutatóban gyakorlati megközelítéssel ismerkedhetsz meg a CORS minden aspektusával. Megtudhatod, hogyan konfiguráld helyesen a szerveroldali beállításokat, milyen hibákkal találkozhatsz fejlesztés közben, és hogyan optimalizálhatod az alkalmazásod teljesítményét. Emellett konkrét kódpéldákkal és bevált gyakorlatokkal is ellátunk, amelyek segítségével magabiztosan kezelheted a cross-origin kéréseket.

Mi az a CORS és miért fontos

A webfejlesztés világában a Same-Origin Policy alapvető biztonsági koncepció, amely megakadályozza, hogy egy weboldalon futó JavaScript kód hozzáférjen más domaineken található erőforrásokhoz. Ez a védelem kulcsfontosságú a felhasználók biztonsága szempontjából, de gyakran akadályozza a legitim alkalmazások működését.

A CORS mechanizmus egy elegáns megoldást kínál erre a problémára. Lehetővé teszi a szerverek számára, hogy explicit módon engedélyezzék bizonyos domainekről érkező kéréseket. Ez a rendszer HTTP headerek segítségével működik, amelyek pontosan meghatározzák, hogy mely eredetekről, milyen HTTP metódusokkal és milyen headerekkel lehet hozzáférni az erőforrásokhoz.

"A CORS nem csak egy technikai megoldás, hanem a modern webes ökoszisztéma alapköve, amely lehetővé teszi a mikroszolgáltatások és API-k biztonságos integrációját."

CORS működési mechanizmus

Egyszerű kérések kezelése

Az egyszerű CORS kérések olyan HTTP kérések, amelyek megfelelnek bizonyos kritériumoknak. Ezek a kérések nem igényelnek előzetes engedélykérést (preflight), hanem közvetlenül végrehajtódnak. Az egyszerű kérések jellemzői a következők:

A zombi számítógépek működése és veszélyei: Hogyan irányítják távolról a zombie computer hálózatokat?
Sütik és cookie-k: Jelentésük és működésük a weboldalakon kifejtve
Kvantuminterferencia: A jelenség definíciója és magyarázata érthetően
DevOps mint szolgáltatás: Hogyan forradalmasítja a DevOps as a Service a szoftverfejlesztést?
  • GET, POST vagy HEAD metódusokat használnak
  • Csak biztonságos headereket tartalmaznak (Accept, Accept-Language, Content-Language, Content-Type)
  • A Content-Type header értéke application/x-www-form-urlencoded, multipart/form-data vagy text/plain
// Egyszerű CORS kérés példája
fetch('https://api.example.com/data', {
  method: 'GET',
  headers: {
    'Accept': 'application/json'
  }
})
.then(response => response.json())
.then(data => console.log(data));

Preflight kérések működése

A bonyolultabb CORS kérések esetében a böngésző először egy OPTIONS metódussal preflight kérést küld. Ez a mechanizmus ellenőrzi, hogy a szerver engedélyezi-e a tényleges kérést. A preflight kérés akkor szükséges, amikor:

  • Nem szabványos HTTP metódust használunk (PUT, DELETE, PATCH)
  • Egyedi headereket adunk a kéréshez
  • A Content-Type értéke application/json

A szerver válaszában megadja, hogy mely metódusok és headerek engedélyezettek. Ha a preflight kérés sikeres, akkor a böngésző elküldi a tényleges kérést.

"A preflight mechanizmus biztosítja, hogy csak az engedélyezett műveletek hajtódhassanak végre, ezzel megőrizve a szerver biztonságát."

Főbb CORS headerek és jelentésük

A CORS működése során számos HTTP header játszik kulcsszerepet. Ezek pontos megértése elengedhetetlen a sikeres implementációhoz. Az alábbi táblázat összefoglalja a legfontosabb headereket:

Header név Irány Jelentés Példa érték
Origin Kliens → Szerver A kérést küldő domain https://example.com
Access-Control-Allow-Origin Szerver → Kliens Engedélyezett origin(ek) * vagy https://example.com
Access-Control-Allow-Methods Szerver → Kliens Engedélyezett HTTP metódusok GET, POST, PUT, DELETE
Access-Control-Allow-Headers Szerver → Kliens Engedélyezett headerek Content-Type, Authorization
Access-Control-Max-Age Szerver → Kliens Preflight cache időtartama 86400
Access-Control-Allow-Credentials Szerver → Kliens Cookie-k küldésének engedélyezése true

Szerver oldali konfiguráció

A CORS helyes konfigurációja kritikus fontosságú a biztonság és a funkcionalitás szempontjából. A szerver oldali beállítások meghatározzák, hogy mely kérések fogadhatók el és milyen feltételekkel.

Az Access-Control-Allow-Origin header a legfontosabb elem, amely meghatározza, hogy mely domainekről érkezhetnek kérések. A * wildcard használata minden origint engedélyez, de ez biztonsági kockázatot jelenthet éles környezetben.

// Node.js Express példa
app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin', 'https://trusted-domain.com');
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  next();
});

Gyakori CORS hibák és megoldásaik

"Access to fetch has been blocked" hiba

Ez a hibaüzenet akkor jelenik meg, amikor a szerver nem küldi vissza a megfelelő CORS headereket. A probléma megoldása általában a szerver konfigurációjának módosítását igényli.

A leggyakoribb okok és megoldások:

  • Hiányzó Access-Control-Allow-Origin header: Adja hozzá a megfelelő header értékkel
  • Helytelen origin konfiguráció: Ellenőrizze, hogy a kliens domain szerepel-e az engedélyezett listában
  • Preflight kérés elutasítása: Győződjön meg róla, hogy az OPTIONS metódus kezelve van

Credentials problémák

Amikor cookie-kat vagy hitelesítési adatokat kell küldeni cross-origin kérésekkel, speciális konfigurációra van szükség. A kliens oldalon be kell állítani a credentials: 'include' opciót, míg a szerveren az Access-Control-Allow-Credentials: true headert kell visszaküldeni.

// Kliens oldal
fetch('https://api.example.com/protected', {
  method: 'POST',
  credentials: 'include',
  headers: {
    'Content-Type': 'application/json'
  },
  body: JSON.stringify(data)
});

// Szerver oldal
res.header('Access-Control-Allow-Credentials', 'true');
res.header('Access-Control-Allow-Origin', 'https://specific-domain.com');

"Soha ne használjon '*' wildcard-ot az Access-Control-Allow-Origin headerben, ha credentials: true van beállítva."

CORS proxy megoldások

Fejlesztési környezetben gyakran hasznos a CORS proxy használata, amely áthidalja a cross-origin korlátozásokat. Ez különösen akkor hasznos, amikor külső API-kat tesztelünk, amelyek nem támogatják a CORS-t.

A proxy szerver fogadja a klienstől érkező kéréseket, továbbítja azokat a célszervernek, majd a válaszokat megfelelő CORS headerekkel egészíti ki. Ez lehetővé teszi a fejlesztők számára, hogy helyi környezetben teszteljék az alkalmazásaikat.

Népszerű proxy megoldások között szerepel a webpack dev server proxy funkciója, a cors-anywhere szolgáltatás, vagy egyedi proxy szerverek implementálása. Fontos azonban megjegyezni, hogy ezek csak fejlesztési célokra alkalmasak, éles környezetben a megfelelő szerver oldali CORS konfiguráció szükséges.

Teljesítmény optimalizálás

Preflight cache optimalizálás

A preflight kérések jelentős terhelést jelenthetnek a szerverre és lassíthatják az alkalmazást. Az Access-Control-Max-Age header segítségével beállíthatjuk, hogy a böngésző mennyi ideig cache-elje a preflight válaszokat.

Optimális cache időtartamok:

  • Fejlesztési környezet: 0-300 másodperc (gyors iterációhoz)
  • Staging környezet: 3600 másodperc (1 óra)
  • Éles környezet: 86400 másodperc (24 óra) vagy több

Kérések számának csökkentése

A CORS overhead minimalizálása érdekében érdemes átgondolni az API design-t. Több kis kérés helyett kevesebb, de átfogóbb endpoint-ok használata csökkentheti a preflight kérések számát.

"A jól tervezett API kevesebb CORS kérést generál, ami javítja mind a teljesítményt, mind a felhasználói élményt."

Biztonsági megfontolások

Origin validáció

A CORS konfiguráció során különös figyelmet kell fordítani az origin validációra. A túl megengedő beállítások biztonsági réseket nyithatnak, míg a túl szigorú korlátozások akadályozhatják a legitim használatot.

Ajánlott gyakorlatok:

  • Explicit domain lista használata wildcard helyett
  • Regex alapú validáció dinamikus subdomain-ek esetén
  • Environment-specifikus konfiguráció alkalmazása

Header biztonság

Bizonyos headerek érzékeny információkat tartalmazhatnak, ezért gondosan kell mérlegelni, hogy mely headereket engedélyezzük cross-origin kérésekben. Az Authorization header például különös figyelmet igényel.

// Biztonságos header konfiguráció
const allowedHeaders = [
  'Content-Type',
  'Authorization',
  'X-Requested-With'
];

res.header('Access-Control-Allow-Headers', allowedHeaders.join(', '));

Különböző környezetek kezelése

A CORS konfiguráció gyakran eltér a fejlesztési, teszt és éles környezetek között. Fontos, hogy rugalmas rendszert alakítsunk ki, amely könnyen adaptálható a különböző követelményekhez.

Environment változók használatával dinamikusan állíthatjuk be az engedélyezett origin-eket és egyéb CORS paramétereket. Ez lehetővé teszi, hogy ugyanaz a kódbázis működjön minden környezetben, miközben fenntartjuk a megfelelő biztonsági szintet.

Környezet Origin konfiguráció Max-Age Credentials
Development localhost:3000, localhost:8080 0 true
Staging *.staging.example.com 3600 true
Production https://app.example.com 86400 true

Modern keretrendszerek és CORS

React alkalmazások

React alkalmazások fejlesztése során a Create React App automatikusan proxy-t biztosít a fejlesztési szerverhez. A package.json fájlban egyszerűen megadhatjuk a proxy URL-t:

{
  "name": "my-app",
  "version": "0.1.0",
  "proxy": "http://localhost:5000"
}

Összetettebb esetekben a http-proxy-middleware csomag használható részletesebb proxy konfigurációhoz. Ez lehetővé teszi különböző API endpoint-ok eltérő szerverekre történő irányítását.

Vue.js és Angular megoldások

A Vue.js CLI és Angular CLI hasonló proxy funkcionalitást kínálnak. A vue.config.js vagy angular.json fájlokban konfigurálhatjuk a proxy beállításokat, amelyek fejlesztés közben automatikusan kezelik a CORS problémákat.

"A modern frontend keretrendszerek beépített proxy megoldásai jelentősen egyszerűsítik a fejlesztési folyamatot."

Hibakeresési technikák

Böngésző fejlesztői eszközök

A CORS problémák diagnosztizálásához a böngésző fejlesztői eszközei nyújtanak a legjobb segítséget. A Network tab-ban pontosan láthatjuk a küldött és fogadott headereket, valamint a preflight kérések részleteit.

Hasznos hibakeresési lépések:

  • Console üzenetek elemzése
  • Network requests részletes vizsgálata
  • Response headers ellenőrzése
  • Preflight kérések nyomon követése

Szerver oldali logolás

A szerver oldalon is fontos a részletes logolás beállítása, hogy nyomon követhessük a beérkező kéréseket és az elküldött válaszokat. Ez segít azonosítani, hogy a probléma a kliens vagy a szerver konfigurációjában van-e.

Jövőbeli fejlesztések

A web platform folyamatosan fejlődik, és a CORS specifikáció is változik. Új funkciók, mint a Trusted Types és a Content Security Policy integrációja, további lehetőségeket nyitnak a biztonságos cross-origin kommunikációra.

A WebAssembly és a Service Worker-ek elterjedése új kihívásokat és lehetőségeket teremt a CORS kezelésében. Ezek a technológiák megváltoztatják, hogy hogyan gondolkodunk a web alkalmazások architektúrájáról és a cross-origin erőforrások kezeléséről.

"A CORS jövője szorosan kapcsolódik a web platform általános biztonsági fejlesztéseihez és az új technológiai trendekhez."

Miért blokkolja a böngésző a CORS kéréseimet?

A böngésző akkor blokkolja a CORS kéréseket, ha a szerver nem küldi vissza a megfelelő Access-Control-Allow-Origin headert, vagy ha az nem tartalmazza a kérést küldő domain-t. Ellenőrizze a szerver CORS konfigurációját.

Hogyan engedélyezhetek minden domain-t fejlesztés közben?

Fejlesztési környezetben használhatja az Access-Control-Allow-Origin: * beállítást, de éles környezetben mindig adja meg konkrétan az engedélyezett domain-eket a biztonság érdekében.

Mit jelent a preflight kérés?

A preflight kérés egy OPTIONS metódussal küldött előzetes kérés, amelyet a böngésző automatikusan küld komplex CORS kérések előtt, hogy ellenőrizze a szerver engedélyeit.

A cookie-k cross-origin küldéséhez be kell állítani a credentials: 'include' opciót a kliens oldalon, és az Access-Control-Allow-Credentials: true headert a szerver oldalon.

Hogyan optimalizálhatom a CORS teljesítményt?

Használja az Access-Control-Max-Age headert a preflight válaszok cache-elésére, és tervezze át az API-t kevesebb, de átfogóbb endpoint-ok használatára a kérések számának csökkentése érdekében.

Mi a különbség a CORS és a JSONP között?

A CORS egy modern, biztonságos megoldás cross-origin kommunikációra, míg a JSONP egy régebbi workaround, amely csak GET kéréseket támogat és biztonsági kockázatokat hordoz magában.

TAGGED:
Megoszthatod a cikket...
Előző cikk Egy férfi digitális rajzolással foglalkozik, háttérben egy nő dolgozik. Mi az a CGI? A szoftveres vizuális tartalomkészítés folyamata és jelentősége
Következő cikk output1 2 Intranet: A belső vállalati hálózat szerepe és előnyei vállalkozásod számára
Legfrissebb bejegyzések
screenshot2026 04 04at2.33.42pm
Mi befolyásolja valójában az autóalkatrészek szállítási határidejét
Gazdaság Tech
- Az ofszet nyomtatás a minőség és mennyiség harmonikus egyesítése a gyártásban.
A minőség és a mennyiség találkozása: Miért verhetetlen még mindig az ofszet technológia?
Tech
output1 238
Digitális stratégia jelentése és kidolgozásának célja: Útmutató a sikeres digital transformation érdekében
Tech
output1 237
Hatástérképezés (Impact Mapping): A vizuális tervezési technika szerepe és előnyei a projektmenedzsmentben
Business
output1 236
ONOS – Open Network Operating System: A hálózati operációs rendszer célja és szerepe
Software
output1 235
Metaadat metadata: miért fontos az adatok leírása az informatika világában?
Tech
output1 234
Konténerek szerepe és definíciója a virtualizáció világában: miért válasszuk a containers technológiát?
Tech
output1 233
Adatvalidáció: A Data Validation folyamat jelentősége és definíciója az IT világában
Tech
Trendi témák
output1 232
High Sierra macOS: Az operációs rendszer új funkciói és fejlesztései
Software
Off page SEO
Mit jelent az Off-page SEO?
SEO
On page SEO
Mit jelent az On-page SEO?
SEO
relevans szoveg
Mennyire fontos a releváns szöveg a SEO-ban?
SEO
keresooptimalizalas
Megtanulható a keresőoptimalizálás?
SEO
linkepites
Mi az a linképítés és miért fontos?
SEO

További érdekes cikkek

output1 182
Tech

Objective-C programozási nyelv: Definíció és célok a hatékony fejlesztéshez

output1 267
Tech

Interaktív Hangválasz (IVR): Az Automatizált Telefonos Rendszerek Működése és Előnyei

Két fiatal felnőtt számítógép előtt ül, matematikai szimbólumokkal díszített laptopon dolgoznak.
Tech

Operátorok a matematikában és programozásban: fogalmak és definíciók

output1 26
Tech

Adatcsökkentés (Data Reduction): Jelentése és technikái az informatika világában

output1 817
Tech

Voltamper: a VA mértékegység jelentése és használata az informatikában

output1 1285
Tech

Poka-Yoke: A hibamegelőzés hatékony módszere a gyártásban és alkalmazása az iparban

Egy fiatal férfi a telefonját nézi, miközben zaklató üzenetek lebegnek körülötte.
Tech

Internetes zaklatás: Cyberbullying fogalma és hatékony megelőzési stratégiák

Adatátvitel a Data Transfer Project keretein belül
Tech

Data Transfer Project: A kezdeményezés céljai és működése az adatok egyszerű átviteléért

Ipari automatizálás vezérlőpultja és a szabályozási kör működése.
Tech

Szabályozási kör (Control Loop) működése és jelentősége az ipari automatizálásban

Férfi laptopon dolgozik, IT szakmai fejlődés, AWS minősítés
Tech

AWS Certified Solutions Architect Associate: A minősítés célja és jelentősége az IT világában

Hírszerzők főhadiszálláson, kommunikációs megfigyelés közben.
Tech

Kommunikációs hírszerzés: COMINT jelentése és szerepe a személyek közötti kommunikáció megfigyelésében

Modern vállalati szakemberek dolgoznak IT megoldásokon
Tech

Virtuális CIO: Miért elengedhetetlen a modern vállalatok számára?

Beostech
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.