CORS ni tushunmaslik: Web dasturchilarning xavfsizlik xatosi

CORS nima va nega muhim?

CORS server tomondan Access-Control-Allow-Origin sarlavhasini yuborish orqali ishlaydi. Bu sarlavha qaysi domen(lar)ga resursga kirish ruxsatini belgilaydi. Brauzer bu sarlavhani tekshirib, agar so‘rov manbai ruxsat etilgan ro‘yxatda bo‘lsa, javobni JavaScriptga yetkazadi. Aks holda, javob bloklanadi va konsolda CORS policy xatosi ko‘rinadi.

Zoom misoli: CORS ni chetlab o‘tish usuli

Zoomning localhost:19421 portida ishlaydigan mahalliy serveri foydalanuvchi brauzeridan kelgan so‘rovlarni tasdiqlamasdan bajarishga harakat qilgan. Dasturchilar bu so‘rovni rasm fayli orqali kodlab, rasm o‘lchamlari yordamida server javobini “yashirish”ga uringan. Bu usul CORS siyosatini chetlab o‘tish maqsadida ishlatilgan, lekin natijada har qanday veb‑sayt Zoom ilovasini nazorat qilish imkoniyatiga ega bo‘ldi.

Nega bu yondashuv noto‘g‘ri?

• Ruxsatsiz kirish – Har qanday sayt serverga so‘rov yuborishi mumkin, bu esa foydalanuvchi qurilmasida noxush amallarni bajarishga olib keladi.
• Ma'lumotlar oqimi – Server javobini rasm o‘lchamlari orqali kodlash foydalanuvchi ma'lumotlarini yashirin tarzda uzatishga imkon beradi.
• Standartlarga zid – Brauzer CORS sarlavhalarini e'tiborga oladi; ularni chetlab o‘tish uchun maxsus “hujum” usullari xavfsizlikni susaytiradi.

To‘g‘ri CORS konfiguratsiyasi qanday bo‘lishi kerak?

Mahalliy server Access-Control-Allow-Origin sarlavhasini faqat https://zoom.us domeniga berishi lozim. Bu orqali faqat Zoom veb‑saytidan kelgan JavaScript kodlari serverga murojaat qila oladi. Bundan tashqari, Content‑Security‑Policy sarlavhasini qo‘shib, frame‑ancestors yoki script-src kabi direktivalar bilan iframe ichida bajarilishini cheklash tavsiya etiladi.

Dasturchilar uchun amaliy tavsiyalar

1. CORS ni o‘rganish – Har bir API uchun ruxsat beriladigan originlarni aniq belgilash.
2. Mahalliy serverlarda ham CORS sarlavhalarini qo‘llash – localhost ham xavfsizlik nuqtai nazaridan nazorat qilinishi kerak.
3. Alternativ yechimlar – Browser extension, OAuth token yoki server‑tomonida proxy orqali so‘rovlarni yo‘naltirish.
4. Test va audit – curl yoki brauzer devtools orqali CORS sarlavhalarini tekshirish.

Natijada, CORS ni to‘g‘ri tushunish va sozlash web‑ilovalar xavfsizligini ta’minlashda asosiy omil hisoblanadi. Zoom misoli kabi xatolarni oldini olish uchun dasturchilar doimo standartlarga rioya qilish va xavfsizlikni birinchi o‘ringa qo‘yish kerak.