Обмен ресурсами между источниками (CORS) – это механизм безопасности, реализованный в веб-браузерах для защиты пользователей от вредоносных сценариев, пытающихся получить доступ к ресурсам из разных источников. Когда веб-приложение пытается выполнить HTTP-запрос между источниками, браузер применяет политики CORS, чтобы определить, разрешен ли запрос. Одной из распространенных ошибок CORS, с которой сталкиваются разработчики, является ошибка «No ‘Access-Control-Allow-Origin’». В этой статье мы рассмотрим различные способы решения этой проблемы на примерах кода.

Метод 1: Конфигурация CORS на стороне сервера
Сервер, на котором размещен запрошенный ресурс, может включать в свой ответ соответствующие заголовки CORS, чтобы разрешить запросы между источниками. В серверный код вы можете добавить следующие заголовки ответа:

// Example using Express.js
app.use(function(req, res, next) {
  res.header("Access-Control-Allow-Origin", "*"); // Replace "*" with the specific origin(s) allowed
  res.header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
  res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
  next();
});

Метод 2: Прокси-сервер
Вы можете настроить прокси-сервер, который будет выступать в качестве посредника между клиентом и сервером, на котором размещен запрошенный ресурс. Прокси-сервер выполняет запрос от имени клиента, и поскольку запрос делается из того же источника, ошибка CORS позволяет избежать. Вот пример использования пакета http-proxy-middlewareв среде Node.js:

const express = require('express');
const { createProxyMiddleware } = require('http-proxy-middleware');
const app = express();
app.use('/api', createProxyMiddleware({ target: 'http://example.com', changeOrigin: true }));
app.listen(3000);

Метод 3: Расширение браузера CORS
Вы можете установить расширение браузера CORS, которое изменяет заголовки CORS в браузере. Этот метод полезен во время разработки, когда у вас нет контроля над конфигурацией на стороне сервера. Расширения браузера CORS позволяют временно отключать ограничения CORS, разрешая запросы между источниками. Однако важно отметить, что этот метод не следует использовать в производственной среде.

Метод 4: JSONP (JSON с дополнением)
Если вы делаете запрос к API, поддерживающему JSONP, вы можете использовать этот метод для обхода ограничений CORS. JSONP работает путем внедрения тега <script>в HTML-документ, который извлекает данные с удаленного сервера. Вот пример:

function handleResponse(data) {
  // Process the data received from the server
}
const script = document.createElement('script');
script.src = 'http://example.com/api?callback=handleResponse';
document.body.appendChild(script);

Ошибка «No ‘Access-Control-Allow-Origin’» — распространенное препятствие в веб-разработке при выполнении запросов из разных источников. Реализовав один из упомянутых выше методов, вы можете преодолеть эту ошибку и позволить своему веб-приложению безопасно взаимодействовать с ресурсами из разных источников.

Не забудьте выбрать метод, который лучше всего подходит для вашего конкретного случая использования, принимая во внимание соображения безопасности и требования вашего приложения.