Что такое CORS? Как работать с CORS в Python?

Posted by infozone.group 26.04.2023

Что такое CORS (Cross-Origin Resource Sharing)?

CORS (Cross-Origin Resource Sharing) — это механизм, который позволяет браузеру ограничивать доступ к ресурсам на веб-страницах, размещенных на другом домене. Если веб-страница запрашивает ресурс с другого домена, то браузер отправляет запрос на сервер с целью проверки разрешено ли получение данных с этого домена. Если сервер разрешает, то браузер получает доступ к ресурсу, иначе запрос будет отклонен.

CORS работает путем добавления HTTP заголовков на сервере, которые указывают, какие домены могут получать доступ к ресурсам. Это означает, что сервер должен явно разрешить другим доменам доступ к ресурсу, если он хочет, чтобы клиентский браузер получил доступ к этому ресурсу.

В Python существует несколько способов работы с CORS при выполнении запросов к страницам сайтов. Рассмотрим несколько примеров.

Использование библиотеки requests

Библиотека requests — это стандартная библиотека Python для выполнения HTTP-запросов. Она также может использоваться для обхода ограничений CORS. Для этого нужно установить заголовок Origin в запросе:

import requests

headers = {
    'Origin': 'http://example.com',
}

response = requests.get('http://target-website.com', headers=headers)

Использование библиотеки aiohttp

Библиотека aiohttp предоставляет асинхронный HTTP-клиент и сервер, который поддерживает работу с CORS. Для выполнения запроса с использованием aiohttp нужно создать объект ClientSession и установить заголовок Origin:

import aiohttp
import asyncio

async def main():
    async with aiohttp.ClientSession() as session:
        headers = {
            'Origin': 'http://example.com',
        }
        async with session.get('http://target-website.com', headers=headers) as response:
            print(await response.text())

asyncio.run(main())

Использование библиотеки Flask

Библиотека Flask — это микрофреймворк для создания веб-приложений на Python. Он также может использоваться для обхода ограничений CORS. Для этого нужно установить заголовки Access-Control-Allow-Origin и Access-Control-Allow-Headers в ответе сервера:

from flask import Flask, jsonify, request

app = Flask(__name__)

@app.route('/data', methods=['GET'])
def get_data():
    data = {'key': 'value'}
    response = jsonify(data)
    response.headers.add('Access-Control-Allow-Origin', '*')
    response.headers.add('Access-Control-Allow-Headers', 'Content-Type,Authorization')
    return response

if __name__ == '__main__':
    app.run(debug=True)

Это лишь некоторые примеры того, как работать описание CORS

Для того чтобы понимать, как работать с CORS в Python, полезно иметь представление о том, как работает механизм CORS.

По умолчанию, браузеры запрещают выполнение запросов сценариев, загрузку изображений, стилей и других ресурсов с другого домена. Это сделано для защиты пользователя от XSS-атак (атак типа «межсайтовый скриптинг»), при которых злоумышленник может заставить браузер выполнить вредоносный код на стороне клиента.

Однако, это ограничение может быть проблемой при разработке веб-приложений. Например, если вы разрабатываете клиентское приложение на JavaScript, которое должно общаться с сервером на другом домене, то вам нужно будет обойти ограничения CORS.

Сам механизм CORS работает следующим образом: когда браузер отправляет запрос на сервер, он добавляет в заголовок запроса Origin, который содержит информацию о домене, откуда был отправлен запрос. Если сервер разрешает доступ к ресурсу для этого домена, то он отправляет в ответ заголовок Access-Control-Allow-Origin, который содержит информацию о том, какие домены могут получать доступ к ресурсу.

Например, если вы хотите, чтобы ваш клиентский JavaScript код на сайте example.com мог получить данные с сервера target-website.com, то сервер должен отправить заголовок Access-Control-Allow-Origin со значением «http://example.com«.

Также есть и другие заголовки, которые можно использовать для дополнительной настройки доступа к ресурсам, например, Access-Control-Allow-Methods и Access-Control-Allow-Headers.

В целом, работа с CORS в Python не отличается от работы с CORS в других языках программирования. Вам нужно знать, какие заголовки нужно установить на сервере, чтобы разрешить доступ к ресурсам с других доменов, и как установить эти заголовки в запросах, которые вы отправляете с клиентской стороны. Как правило, это делается с помощью библиотек и фреймворков, которые облегчают работу с HTTP-заголовками.

Что такое Access-Control-Allow-Methods и Access-Control-Allow-Headers

Access-Control-Allow-Methods и Access-Control-Allow-Headers — это заголовки, которые используются вместе с заголовком Access-Control-Allow-Origin, для настройки доступа к ресурсам через механизм CORS.

Access-Control-Allow-Methods — это заголовок, который указывает, какие методы HTTP могут быть использованы для доступа к ресурсу. Например, если вы хотите разрешить доступ только через GET и POST запросы, то нужно установить значение «GET, POST» для этого заголовка.

Access-Control-Allow-Headers — это заголовок, который указывает, какие заголовки HTTP могут быть отправлены вместе с запросом на сервер. Например, если ваш клиентский код отправляет запрос с заголовком «Authorization», то вы должны установить значение «Authorization» для этого заголовка, чтобы сервер разрешил отправку этого заголовка вместе с запросом.

Оба этих заголовка могут быть использованы вместе с заголовком Access-Control-Allow-Origin, чтобы установить более точные настройки доступа к ресурсам. Если вы хотите разрешить доступ к ресурсу только определенным доменам и только через определенные методы и заголовки, то вы можете установить соответствующие значения для этих заголовков. Например:

Access-Control-Allow-Origin: http://example.com
Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: Authorization

Это означает, что ресурс может быть запрошен только с домена example.com, доступ к ресурсу разрешен только через методы GET и POST, и заголовок Authorization может быть отправлен вместе с запросом.

Структура CORS

Структура CORS (Cross-Origin Resource Sharing) состоит из нескольких ключевых элементов:

  1. Клиент — это приложение или скрипт на стороне клиента, которое отправляет запрос на сервер.
  2. Сервер — это веб-приложение или служба, которая принимает запросы от клиента и отвечает на них.
  3. Оригин — это домен, протокол и порт, откуда был отправлен запрос на сервер. Оригин определяет, с какого домена отправлен запрос на сервер.
  4. Заголовки запроса — это данные, которые отправляются вместе с запросом на сервер. Заголовки могут содержать информацию о том, какой тип запроса был отправлен и какие данные нужно получить от сервера.
  5. Заголовки ответа — это данные, которые сервер отправляет в ответ на запрос клиента. Заголовки могут содержать информацию о том, какие данные доступны и какие заголовки могут быть отправлены с запросом на сервер.

CORS регулирует доступ к ресурсам на сервере через механизм проверки оригина. Это означает, что сервер проверяет, откуда был отправлен запрос, и разрешает или запрещает доступ к ресурсам на основе этой информации. Если оригин запроса не соответствует разрешенным оригинальным доменам, сервер отправляет ошибку CORS, которая предотвращает доступ к ресурсам.

Сам механизм CORS не регулирует получение каких-либо конкретных данных, но он определяет, какие ресурсы и какие данные могут быть запрошены и получены с сервера. В частности, CORS регулирует доступ к ресурсам на сервере, которые могут быть запрошены через методы HTTP, такие как GET, POST, PUT, DELETE и другие, а также ограничивает доступ к заголовкам, которые могут быть отправлены с запросом на сервер.

Подробнее можно узнать в документации https://developer.mozilla.org/ru/docs/Web/HTTP/CORS

0 0 голоса
Рейтинг статьи
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x