¿Cómo funcionan los sitios web CORS proxy?

Question

¿Cómo funcionan los sitios web CORS proxy?

#1 de Anders (3 votos)

1

Mientras estaba desarrollando el lado frontal de mi proyecto web, recibí un error de protección CORS. No es de extrañar ya que mi proyecto de front-end no tenía el mismo origen. Después de algunas búsquedas sobre cómo evitar la protección de CORS, he encontrado algunos sitios web de proxy.

No quiero mencionar los nombres de los sitios web, pero generalmente funcionan en este formato:

https://acorsproxywebsite.com/https://example.com

Cuando envié esta solicitud, pude enviar una solicitud GET y recibir respuesta de cualquier sitio web deshabilitado por CORS.

¿Cómo pueden los sitios web proxy de CORS evitar la protección y obtener una respuesta de cualquier fuente cruzada? ¿Por qué pueden enviar solicitudes con éxito pero no puedo? ¿Es posible implementar una estructura similar para que pueda omitir la protección CORS de mi interfaz?

http proxy cors

pregunta Pilfility 17.08.2018 - 08:50

fuente

1 respuesta

Lea otras preguntas en las etiquetas http proxy cors

¿Necesitamos agregar CSP a todas las páginas web en una aplicación web? ¿Por qué es mala la salida no saneada de una solicitud ajax?

score 3 · Accepted Answer

La política CORS es aplicada por el navegador, no por el servidor. El servidor solo establece un par de encabezados HTTP que le dicen al navegador cómo quiere que se comporte. No hay nada que obligue a un proxyserver a respetar esos encabezados, y puede agregarlos, editarlos o eliminarlos como lo hace con cualquier otro encabezado.

Por lo tanto, el proxy puede enviar la solicitud, pero usted no puede, porque como desarrollador de aplicaciones frontales está sujeto a las limitaciones que el navegador le impone. No hay manera de evitar eso. Tendrá que establecer los encabezados CORS apropiados en su back-end, o deberá seguir confiando en los servidores proxy.

Entonces, ¿es CORS y toda la misma política de origen inútil si se puede pasar por alto con un simple proxy? ¡No! Dado que ahora se realiza la solicitud a acorsproxywebsite.com , cualquier cookie u otra información de autenticación para example.com no se incluirá automáticamente en la solicitud por parte del navegador. Eso significa que el proxyserver solo está exponiendo lo que puede ver, y no lo que otra víctima potencial puede ver.