CORS एरर को (सुरक्षित तरीक़े से) कैसे ठीक करें
CORS एरर का सबसे तेज़ 'फ़िक्स' — वाइल्डकार्ड से सभी ओरिजिन की अनुमति देना — एक सिक्योरिटी छेद भी है: यह किसी भी वेबसाइट को पीड़ित के ब्राउज़र से आपके API को कॉल करने देता है। सही फ़िक्स सिर्फ़ उन्हीं ओरिजिन की अनुमति देता है जिन पर आप भरोसा करते हैं।
चरण दर चरण
- 1
समझें कि CORS किसकी रक्षा करता है
CORS नियंत्रित करता है कि कौन-से वेब ओरिजिन ब्राउज़र में आपके API से रिस्पॉन्स पढ़ सकते हैं। एक वाइल्डकार्ड ('*') या किसी भी Origin को परावर्तित करना उस सुरक्षा को अक्षम कर देता है।
- 2
विशिष्ट ओरिजिन की अनुमति-सूची बनाएँ
Access-Control-Allow-Origin को अपने सटीक फ़्रंटएंड ओरिजिन पर सेट करें — जैसे https://app.example.com — न कि '*' पर। भरोसेमंद ओरिजिन की एक सर्वर-साइड सूची बनाए रखें।
- 3
क्रेडेंशियल के साथ सावधान रहें
अगर आप कुकीज़ भेजते हैं, तो आप '*' इस्तेमाल नहीं कर सकते — आपको एक विशिष्ट अनुमत ओरिजिन को परावर्तित करना होगा और Access-Control-Allow-Credentials: true सिर्फ़ भरोसेमंद ओरिजिन के लिए सेट करना होगा।
- 4
हमारे CORS चेकर से सत्यापित करें
अपने एंडपॉइंट को फिर से जाँचें ताकि पुष्टि हो कि यह अब मनमाने ओरिजिन की अनुमति नहीं देता और क्रेडेंशियल वाले अनुरोध सिर्फ़ उन्हीं ओरिजिन तक सीमित हैं जिन पर आप भरोसा करते हैं।
इसे सिर्फ़ ठीक नहीं, सत्यापित भी कराना चाहते हैं?
इसे ठीक करना पहला क़दम है। ClearedToShip की समीक्षा पुष्टि करती है कि फ़िक्स सचमुच टिकता है और आपको लॉन्च के लिए एक हस्ताक्षरित, बीमित क्लियरेंस देती है। अर्ली एक्सेस में शामिल हों: