CORS چیست ؟ SOP چیست ؟ ـــ تنظیم هدرها برای جلوگیری از خطای CORS

با خطای CORS مواجه شده‌اید؟ می‌خواهید بدانید CORS چیست و چگونه باید آن را اجرا کرد؟ SOP چیست ؟ ارتباط cors و xss چیست ؟ ارتباط cors و csrf چیست ؟ این آموزش در مدت زمان ۳۳ دقیقه شما را با مفهوم SOP برای جلوگیری از حمله‌های بین سایتی آشنا می‌کند. سپس با CORS یا Cross-origin Resource Sharing آشنا می‌شوید که SOP را منعطف می‌کند. یاد خواهید گرفت که هدرها در پاسخ سرور چگونه باید مطابق با سیاست CORS تنظیم شوند تا خطا دریافت نکنید.
این فیلم در واقع بخشی از بسته آموزش ساخت فروشگاه با ری اکت و جنگو است. در اینجا مستقل نیز منتشر می‌شود زیرا به طور کلی برای برنامه‌نویسان وب، جدا از زبان و فریمورکی که کار می‌کنند، مفید است.

برای فعال کردن CORS در جنگو پیشنهاد می‌کنم آموزش رایگان زیر را ببیند. بر روی تصویر زیر کلیک کنید تا به صفحه آموزش هدایت شوید.

این آموزش در یک نگاه

در آغاز این فیلم خطایی را بررسی می‌کنیم که به دلیل نقض CORS رخ می‌دهد. سپس به مفهوم SOP یا Same Origin Policy می‌پردازیم. با هم معنی Origin و شرایط سه گانه آن یعنی Protocol و host name و port را درک می‌کنیم. آنگاه مفهوم منشا یکسان و سیاست منشا یکسان یا SOP در مرورگرهای نوین را بررسی می‌کنیم.

در ادامه خواهیم دید که چگونه خط و مشی CORS می‌تواند SOP را منعطف کند. چگونه باید به مرورگر بفهمانیم که دو سایت به هم اعتماد دارند؟ به این منظور لازم است که هدرهایی در درخواست و پاسخ سرور وجود داشته باشد تا مرورگر از اعتماد میان دو منشا مطمئن شود.
با فرآیند request-response در حالت‌های گوناگون مکانیزم CORS آشنا خواهیم شد. انواع این هدرها در سرفصل‌های این آموزش آمده است.

تنظیم هدرها و نکته‌های گوناگونی را از مرجعی معتبر بررسی می‌کنیم تا شما علاوه بر آموختن این مفهوم به مسیر خودآموزی هم بیشتر آشنا شوید و بتوانید در موارد مشابه خودتان مشکل را با استفاده از مراجع درک و حل کنید.

همچنین در پایان آموزش دو نکته مهم با معرفی دو مقاله در رابطه با CORS مطرح می‌شود:

۱- چه آسیب پذیری‌هایی ممکن است از تنظیمات CORS متوجه شما شود؟

۲- آیا با وجود SOP و CORS باز هم خطر حمله CSRF و حمله XSS یا Cross-site Scripting وجود دارد؟ به بیان دیگر چه ارتباطی میان CORS و CSRF و چه ارتباطی میان CORS و XSS وجود دارد؟

این آموزش برای تمام توسعه‌دهنگان وب لازم است. بحث امنیت وب بحث بسیار جدی و مستلزم توجه ویژه است.

این آموزش بی نظیر است زیرا:

• یک مرجع با کدهای استاندارد را در کنار تجربه مدرس خواهید داشت
• بحث امنیت وب بحث بسیار جدی و مستلزم توجه ویژه است

کلیدواژگان

 SOP چیست – مخفف SOP چیست – معنی SOP چیست – SOP چیه – xss چیست –  حملات xss – حمله xss – باگ xss چیست –  ارتباط xss و cors – SOP یعنی چی – SOP استاندارد چیست – خطای cors – ارور cors – خطای cors چیست – csrf چیست – csrf token چیست – حمله csrf – فرق cors و csrf – ارتباط cors و csrf – حل مشکل access control allow origin – xss چیست

سرفصل‌ها

• سیاست SOP یا Same Origin Policy چیست؟
• خط و مشی CORS یا Cross-origin Resource Sharing چیست؟
• چرا خطای Origin blocked by CORS در مرورگر نمایش داده می‌شود؟
• نگاهی به تاریخ توسعه وب و لزوم وجود SOP
• جایگاه جاوااسکریپت و DOM در پویا کردن سندهای وب
• سندهای پویای وب آسیب پذیر در اثر حمله‌های Cross Site
• مفهوم هدر origin و access control allow origin
• مقدار * و مقدار دقیق به عنوان منشا
• مفهوم origin یا منشا یکسان با طرح مثال
• مفهوم scheme و host name و port برای یکسان بودن منشا
• بررسی استاندارد کورس از روی MDN یا Mozilla Developers
• معنی و شرایط ریکوئست ساده یا simple request
• مقدارر هدر content type در درخواست‌های ساده
• بررسی یک request-response ساده و هدرهای آن منطبق با CORS
• معنی درخواست preflight یا پیش پرواز و شرایط آن
• فرآیند یک preflighted request و هدرهای آن
• معنی هدر access-control-request-method
• معنی هدر access-control-request-hearers
• معنی access-control-allow-methods و access-control-allow-headers
• معنی access-control-max-age
• مفهوم درخواست همراه با credentials
• ارسال و تنظیم cookie با رعایت CORS
• مفهوم هدر access-control-allow-credentials
• بایدهای credentialed requests در تنظیم هدر مطابق CORS
• معرفی مرجع برای مطالعه آسیب پذیری یا vulnerability مرتبط با CORS
• چرا با وجود SOP و CORS هنوز خطر حمله CSRF و XSS وجود دارد
• بررسی یک حالت حمله Cross-site Scripting یا XSS
• یادآوری برگ رایگان CSRF برای جلوگیری از این حمله‌ها با توکن