Tech

CORS jelentése és működése a webfejlesztésben: Cross-Origin Resource Sharing alapok és tippek

By Beostech
12 perc olvasás
Egy férfi programozás közben, laptopján kódot ír, háttérben monitorral.
A férfi a kódolásra összpontosít, miközben a technológia világában dolgozik.

A modern webes alkalmazások fejlesztése során minden programozó szembesül olyan helyzetekkel, amikor különböző domainek között kell adatot cserélni. Ez a látszólag egyszerű feladat azonban komoly biztonsági kihívásokat rejt magában, és itt lép képbe a CORS mechanizmus. A böngészők beépített védelmi rendszere sokszor okoz fejfájást a fejlesztőknek, amikor API-hívások váratlanul elutasításra kerülnek.

Tartalom

A Cross-Origin Resource Sharing egy W3C szabvány, amely lehetővé teszi a webes alkalmazások számára, hogy biztonságosan kommunikáljanak más domaineken található erőforrásokkal. Ez a mechanizmus egyszerre biztosítja a rugalmasságot és a biztonságot a modern web ökoszisztémában. A következőkben részletesen megvizsgáljuk, hogyan működik ez a rendszer, milyen kihívásokkal találkozhatunk, és hogyan oldhatjuk meg a felmerülő problémákat.

Ebben az útmutatóban gyakorlati megközelítéssel ismerkedhetsz meg a CORS minden aspektusával. Megtudhatod, hogyan konfiguráld helyesen a szerveroldali beállításokat, milyen hibákkal találkozhatsz fejlesztés közben, és hogyan optimalizálhatod az alkalmazásod teljesítményét. Emellett konkrét kódpéldákkal és bevált gyakorlatokkal is ellátunk, amelyek segítségével magabiztosan kezelheted a cross-origin kéréseket.

Mi az a CORS és miért fontos

A webfejlesztés világában a Same-Origin Policy alapvető biztonsági koncepció, amely megakadályozza, hogy egy weboldalon futó JavaScript kód hozzáférjen más domaineken található erőforrásokhoz. Ez a védelem kulcsfontosságú a felhasználók biztonsága szempontjából, de gyakran akadályozza a legitim alkalmazások működését.

A CORS mechanizmus egy elegáns megoldást kínál erre a problémára. Lehetővé teszi a szerverek számára, hogy explicit módon engedélyezzék bizonyos domainekről érkező kéréseket. Ez a rendszer HTTP headerek segítségével működik, amelyek pontosan meghatározzák, hogy mely eredetekről, milyen HTTP metódusokkal és milyen headerekkel lehet hozzáférni az erőforrásokhoz.

"A CORS nem csak egy technikai megoldás, hanem a modern webes ökoszisztéma alapköve, amely lehetővé teszi a mikroszolgáltatások és API-k biztonságos integrációját."

CORS működési mechanizmus

Egyszerű kérések kezelése

Az egyszerű CORS kérések olyan HTTP kérések, amelyek megfelelnek bizonyos kritériumoknak. Ezek a kérések nem igényelnek előzetes engedélykérést (preflight), hanem közvetlenül végrehajtódnak. Az egyszerű kérések jellemzői a következők:

ASHRAE szerepe és szabványai: Részletes útmutató épületgépész szakembereknek
Honey Monkey: A kiberbiztonsági eszköz működése és jelentősége az informatikában
Felügyelt hálózati szolgáltatások: Managed Network Services jelentésük és szerepük az üzleti világban
ITIL keretrendszer célja és szerepe az IT szolgáltatások életciklusában
  • GET, POST vagy HEAD metódusokat használnak
  • Csak biztonságos headereket tartalmaznak (Accept, Accept-Language, Content-Language, Content-Type)
  • A Content-Type header értéke application/x-www-form-urlencoded, multipart/form-data vagy text/plain
// Egyszerű CORS kérés példája
fetch('https://api.example.com/data', {
  method: 'GET',
  headers: {
    'Accept': 'application/json'
  }
})
.then(response => response.json())
.then(data => console.log(data));

Preflight kérések működése

A bonyolultabb CORS kérések esetében a böngésző először egy OPTIONS metódussal preflight kérést küld. Ez a mechanizmus ellenőrzi, hogy a szerver engedélyezi-e a tényleges kérést. A preflight kérés akkor szükséges, amikor:

  • Nem szabványos HTTP metódust használunk (PUT, DELETE, PATCH)
  • Egyedi headereket adunk a kéréshez
  • A Content-Type értéke application/json

A szerver válaszában megadja, hogy mely metódusok és headerek engedélyezettek. Ha a preflight kérés sikeres, akkor a böngésző elküldi a tényleges kérést.

"A preflight mechanizmus biztosítja, hogy csak az engedélyezett műveletek hajtódhassanak végre, ezzel megőrizve a szerver biztonságát."

Főbb CORS headerek és jelentésük

A CORS működése során számos HTTP header játszik kulcsszerepet. Ezek pontos megértése elengedhetetlen a sikeres implementációhoz. Az alábbi táblázat összefoglalja a legfontosabb headereket:

Header név Irány Jelentés Példa érték
Origin Kliens → Szerver A kérést küldő domain https://example.com
Access-Control-Allow-Origin Szerver → Kliens Engedélyezett origin(ek) * vagy https://example.com
Access-Control-Allow-Methods Szerver → Kliens Engedélyezett HTTP metódusok GET, POST, PUT, DELETE
Access-Control-Allow-Headers Szerver → Kliens Engedélyezett headerek Content-Type, Authorization
Access-Control-Max-Age Szerver → Kliens Preflight cache időtartama 86400
Access-Control-Allow-Credentials Szerver → Kliens Cookie-k küldésének engedélyezése true

Szerver oldali konfiguráció

A CORS helyes konfigurációja kritikus fontosságú a biztonság és a funkcionalitás szempontjából. A szerver oldali beállítások meghatározzák, hogy mely kérések fogadhatók el és milyen feltételekkel.

Az Access-Control-Allow-Origin header a legfontosabb elem, amely meghatározza, hogy mely domainekről érkezhetnek kérések. A * wildcard használata minden origint engedélyez, de ez biztonsági kockázatot jelenthet éles környezetben.

// Node.js Express példa
app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin', 'https://trusted-domain.com');
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  next();
});

Gyakori CORS hibák és megoldásaik

"Access to fetch has been blocked" hiba

Ez a hibaüzenet akkor jelenik meg, amikor a szerver nem küldi vissza a megfelelő CORS headereket. A probléma megoldása általában a szerver konfigurációjának módosítását igényli.

A leggyakoribb okok és megoldások:

  • Hiányzó Access-Control-Allow-Origin header: Adja hozzá a megfelelő header értékkel
  • Helytelen origin konfiguráció: Ellenőrizze, hogy a kliens domain szerepel-e az engedélyezett listában
  • Preflight kérés elutasítása: Győződjön meg róla, hogy az OPTIONS metódus kezelve van

Credentials problémák

Amikor cookie-kat vagy hitelesítési adatokat kell küldeni cross-origin kérésekkel, speciális konfigurációra van szükség. A kliens oldalon be kell állítani a credentials: 'include' opciót, míg a szerveren az Access-Control-Allow-Credentials: true headert kell visszaküldeni.

// Kliens oldal
fetch('https://api.example.com/protected', {
  method: 'POST',
  credentials: 'include',
  headers: {
    'Content-Type': 'application/json'
  },
  body: JSON.stringify(data)
});

// Szerver oldal
res.header('Access-Control-Allow-Credentials', 'true');
res.header('Access-Control-Allow-Origin', 'https://specific-domain.com');

"Soha ne használjon '*' wildcard-ot az Access-Control-Allow-Origin headerben, ha credentials: true van beállítva."

CORS proxy megoldások

Fejlesztési környezetben gyakran hasznos a CORS proxy használata, amely áthidalja a cross-origin korlátozásokat. Ez különösen akkor hasznos, amikor külső API-kat tesztelünk, amelyek nem támogatják a CORS-t.

A proxy szerver fogadja a klienstől érkező kéréseket, továbbítja azokat a célszervernek, majd a válaszokat megfelelő CORS headerekkel egészíti ki. Ez lehetővé teszi a fejlesztők számára, hogy helyi környezetben teszteljék az alkalmazásaikat.

Népszerű proxy megoldások között szerepel a webpack dev server proxy funkciója, a cors-anywhere szolgáltatás, vagy egyedi proxy szerverek implementálása. Fontos azonban megjegyezni, hogy ezek csak fejlesztési célokra alkalmasak, éles környezetben a megfelelő szerver oldali CORS konfiguráció szükséges.

Teljesítmény optimalizálás

Preflight cache optimalizálás

A preflight kérések jelentős terhelést jelenthetnek a szerverre és lassíthatják az alkalmazást. Az Access-Control-Max-Age header segítségével beállíthatjuk, hogy a böngésző mennyi ideig cache-elje a preflight válaszokat.

Optimális cache időtartamok:

  • Fejlesztési környezet: 0-300 másodperc (gyors iterációhoz)
  • Staging környezet: 3600 másodperc (1 óra)
  • Éles környezet: 86400 másodperc (24 óra) vagy több

Kérések számának csökkentése

A CORS overhead minimalizálása érdekében érdemes átgondolni az API design-t. Több kis kérés helyett kevesebb, de átfogóbb endpoint-ok használata csökkentheti a preflight kérések számát.

"A jól tervezett API kevesebb CORS kérést generál, ami javítja mind a teljesítményt, mind a felhasználói élményt."

Biztonsági megfontolások

Origin validáció

A CORS konfiguráció során különös figyelmet kell fordítani az origin validációra. A túl megengedő beállítások biztonsági réseket nyithatnak, míg a túl szigorú korlátozások akadályozhatják a legitim használatot.

Ajánlott gyakorlatok:

  • Explicit domain lista használata wildcard helyett
  • Regex alapú validáció dinamikus subdomain-ek esetén
  • Environment-specifikus konfiguráció alkalmazása

Header biztonság

Bizonyos headerek érzékeny információkat tartalmazhatnak, ezért gondosan kell mérlegelni, hogy mely headereket engedélyezzük cross-origin kérésekben. Az Authorization header például különös figyelmet igényel.

// Biztonságos header konfiguráció
const allowedHeaders = [
  'Content-Type',
  'Authorization',
  'X-Requested-With'
];

res.header('Access-Control-Allow-Headers', allowedHeaders.join(', '));

Különböző környezetek kezelése

A CORS konfiguráció gyakran eltér a fejlesztési, teszt és éles környezetek között. Fontos, hogy rugalmas rendszert alakítsunk ki, amely könnyen adaptálható a különböző követelményekhez.

Environment változók használatával dinamikusan állíthatjuk be az engedélyezett origin-eket és egyéb CORS paramétereket. Ez lehetővé teszi, hogy ugyanaz a kódbázis működjön minden környezetben, miközben fenntartjuk a megfelelő biztonsági szintet.

Környezet Origin konfiguráció Max-Age Credentials
Development localhost:3000, localhost:8080 0 true
Staging *.staging.example.com 3600 true
Production https://app.example.com 86400 true

Modern keretrendszerek és CORS

React alkalmazások

React alkalmazások fejlesztése során a Create React App automatikusan proxy-t biztosít a fejlesztési szerverhez. A package.json fájlban egyszerűen megadhatjuk a proxy URL-t:

{
  "name": "my-app",
  "version": "0.1.0",
  "proxy": "http://localhost:5000"
}

Összetettebb esetekben a http-proxy-middleware csomag használható részletesebb proxy konfigurációhoz. Ez lehetővé teszi különböző API endpoint-ok eltérő szerverekre történő irányítását.

Vue.js és Angular megoldások

A Vue.js CLI és Angular CLI hasonló proxy funkcionalitást kínálnak. A vue.config.js vagy angular.json fájlokban konfigurálhatjuk a proxy beállításokat, amelyek fejlesztés közben automatikusan kezelik a CORS problémákat.

"A modern frontend keretrendszerek beépített proxy megoldásai jelentősen egyszerűsítik a fejlesztési folyamatot."

Hibakeresési technikák

Böngésző fejlesztői eszközök

A CORS problémák diagnosztizálásához a böngésző fejlesztői eszközei nyújtanak a legjobb segítséget. A Network tab-ban pontosan láthatjuk a küldött és fogadott headereket, valamint a preflight kérések részleteit.

Hasznos hibakeresési lépések:

  • Console üzenetek elemzése
  • Network requests részletes vizsgálata
  • Response headers ellenőrzése
  • Preflight kérések nyomon követése

Szerver oldali logolás

A szerver oldalon is fontos a részletes logolás beállítása, hogy nyomon követhessük a beérkező kéréseket és az elküldött válaszokat. Ez segít azonosítani, hogy a probléma a kliens vagy a szerver konfigurációjában van-e.

Jövőbeli fejlesztések

A web platform folyamatosan fejlődik, és a CORS specifikáció is változik. Új funkciók, mint a Trusted Types és a Content Security Policy integrációja, további lehetőségeket nyitnak a biztonságos cross-origin kommunikációra.

A WebAssembly és a Service Worker-ek elterjedése új kihívásokat és lehetőségeket teremt a CORS kezelésében. Ezek a technológiák megváltoztatják, hogy hogyan gondolkodunk a web alkalmazások architektúrájáról és a cross-origin erőforrások kezeléséről.

"A CORS jövője szorosan kapcsolódik a web platform általános biztonsági fejlesztéseihez és az új technológiai trendekhez."

Miért blokkolja a böngésző a CORS kéréseimet?

A böngésző akkor blokkolja a CORS kéréseket, ha a szerver nem küldi vissza a megfelelő Access-Control-Allow-Origin headert, vagy ha az nem tartalmazza a kérést küldő domain-t. Ellenőrizze a szerver CORS konfigurációját.

Hogyan engedélyezhetek minden domain-t fejlesztés közben?

Fejlesztési környezetben használhatja az Access-Control-Allow-Origin: * beállítást, de éles környezetben mindig adja meg konkrétan az engedélyezett domain-eket a biztonság érdekében.

Mit jelent a preflight kérés?

A preflight kérés egy OPTIONS metódussal küldött előzetes kérés, amelyet a böngésző automatikusan küld komplex CORS kérések előtt, hogy ellenőrizze a szerver engedélyeit.

A cookie-k cross-origin küldéséhez be kell állítani a credentials: 'include' opciót a kliens oldalon, és az Access-Control-Allow-Credentials: true headert a szerver oldalon.

Hogyan optimalizálhatom a CORS teljesítményt?

Használja az Access-Control-Max-Age headert a preflight válaszok cache-elésére, és tervezze át az API-t kevesebb, de átfogóbb endpoint-ok használatára a kérések számának csökkentése érdekében.

Mi a különbség a CORS és a JSONP között?

A CORS egy modern, biztonságos megoldás cross-origin kommunikációra, míg a JSONP egy régebbi workaround, amely csak GET kéréseket támogat és biztonsági kockázatokat hordoz magában.

TAGGED:
Megoszthatod a cikket...
Előző cikk Egy férfi digitális rajzolással foglalkozik, háttérben egy nő dolgozik. Mi az a CGI? A szoftveres vizuális tartalomkészítés folyamata és jelentősége
Következő cikk output1 2 Intranet: A belső vállalati hálózat szerepe és előnyei vállalkozásod számára
Legfrissebb bejegyzések
screenshot2026 04 04at2.33.42pm
Mi befolyásolja valójában az autóalkatrészek szállítási határidejét
Gazdaság Tech
- Az ofszet nyomtatás a minőség és mennyiség harmonikus egyesítése a gyártásban.
A minőség és a mennyiség találkozása: Miért verhetetlen még mindig az ofszet technológia?
Tech
output1 238
Digitális stratégia jelentése és kidolgozásának célja: Útmutató a sikeres digital transformation érdekében
Tech
output1 237
Hatástérképezés (Impact Mapping): A vizuális tervezési technika szerepe és előnyei a projektmenedzsmentben
Business
output1 236
ONOS – Open Network Operating System: A hálózati operációs rendszer célja és szerepe
Software
output1 235
Metaadat metadata: miért fontos az adatok leírása az informatika világában?
Tech
output1 234
Konténerek szerepe és definíciója a virtualizáció világában: miért válasszuk a containers technológiát?
Tech
output1 233
Adatvalidáció: A Data Validation folyamat jelentősége és definíciója az IT világában
Tech
Trendi témák
output1 232
High Sierra macOS: Az operációs rendszer új funkciói és fejlesztései
Software
Off page SEO
Mit jelent az Off-page SEO?
SEO
On page SEO
Mit jelent az On-page SEO?
SEO
relevans szoveg
Mennyire fontos a releváns szöveg a SEO-ban?
SEO
keresooptimalizalas
Megtanulható a keresőoptimalizálás?
SEO
linkepites
Mi az a linképítés és miért fontos?
SEO

További érdekes cikkek

output1 1419
Tech

Szupervezetés: A superconductivity jelenség definíciója és magyarázata

output1 148
Tech

Mi az a süti (cookie) a weben és hogyan működik? Részletes útmutató

Férfi számítógépen dolgozik PKI biztonsági infrastruktúra témában
Tech

Nyilvános kulcsú infrastruktúra PKI: A biztonsági keretrendszer felépítése és működése

output1 27
Tech

A kriptológia és a kriptográfia kapcsolata: Definíciók és alkalmazások az információbiztonságban

output1 1567
Tech

A könyvtárak szerepe a fájlrendszerben: Directory alapok és funkciók

Nők egészségével foglalkozó orvos digitális eszközt mutat be pácienseinek.
Tech

Femtech: A nők egészségét célzó technológiák jelentése és főbb területei

Orvos adatvédelmi intézkedések alkalmazása számítógépen
Tech

HIPAA törvény: Az egészségbiztosítási adatvédelem és biztonság alapjai az USA-ban

output1 328
Tech

Interaktív videó: A felhasználói beavatkozást lehetővé tevő videók működése és előnyei

Adatvédelmi tisztviselő munka közben, adatvédelem biztosítása.
Tech

Adatvédelmi tisztviselő (Chief Privacy Officer): szerepe és feladatai az adatvédelem biztosításában

output1 1691
Tech

Mi az az Optical Carrier? Az optikai vivő hálózati szabványának meghatározása és jelentősége

Két mérnök, akik okosszemüveget viselnek, adatokat elemeznek egy gyárban.
Tech

Okos gyár jelentése és a digitalizált termelés működése: Útmutató a jövő gyáraihoz

Programozó dolgozik a GNU/Linux operációs rendszeren.
Tech

GNU/Linux operációs rendszer: definíció és felépítés magyarázata

Beostech
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.