Как организовать безопасные запросы Vue-Laravel?

Question

mazahaler @mazahaler

CORS

Как организовать безопасные запросы Vue-Laravel?

Здравствуйте, только изучаю Vue и решил для начала сделать систему аутентификации(регистрация, логин и т.д.).
Запросы отправляются от Vue к Laravel, и мне пришлось прописать в Laravel routes/api.php перед роутами такие штуки:
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: POST, GET, OPTIONS, PUT, DELETE');
header('Access-Control-Allow-Headers: Content-Type, X-Auth-Token, Origin, Authorization');
header('Access-Control-Expose-Headers: Authorization');
по той причине, что когда я отправлял запросы выскакивала ошибка, связанная с CORS. Нагуглил, что надо вставить эти строчки, но не разобрался в в вопросе безопасности.
Вопрос: безопасно ли использовать строки, приведенные выше? Если нет, то что посоветуете, чтобы не вылазило ошибок, связанных с CORS

Вопрос задан более трёх лет назад
143 просмотра

Комментировать

Подписаться 2 Простой Комментировать

Решения вопроса 1

8 комментариев

mazahaler @mazahaler Автор вопроса
Вот кусочек из routes/api.php:
//header('Access-Control-Allow-Origin: *'); header('Access-Control-Allow-Methods: POST, GET, OPTIONS, PUT, DELETE'); header('Access-Control-Allow-Headers: Content-Type, X-Auth-Token, Origin, Authorization'); header('Access-Control-Expose-Headers: Authorization'); Route::prefix('auth')->group(function () { Route::post('register', 'AuthController@register'); Route::post('login', 'AuthController@login'); Route::get('refresh', 'AuthController@refresh'); Route::group(['middleware' => 'auth:api'], function(){ Route::get('user', 'AuthController@user'); Route::post('logout', 'AuthController@logout'); }); });

Как видно, я закомментил Access-Control-Allow-Origin: *
После этого во Front части приложения(Vue) в консоли получаю это:
Access to XMLHttpRequest at '127.0.0.1:8000/api/auth/refresh' from origin 'localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
Как избавиться от этого и оставить "весь смысл CORS"?
Написано более трёх лет назад
JhaoDa @JhaoDa

mazahaler, окей, я уточню: * сводит на нет вообще весь смысл CORS.

Написано более трёх лет назад
mazahaler @mazahaler Автор вопроса

JhaoDa, значит надо прописать просто адрес сервера, откуда идут запросы?
header('Access-Control-Allow-Origin: localhost:8080');
типа так?

Написано более трёх лет назад
JhaoDa @JhaoDa

mazahaler, ещё и схему указывать надо.

Написано более трёх лет назад
mazahaler @mazahaler Автор вопроса

JhaoDa, Окей, спасибо большое. А что касается остальных трех строчек? Они сами по себе не открывают какую-либо уязвимость/уязвимости?

Написано более трёх лет назад
JhaoDa @JhaoDa

mazahaler,
Они сами по себе не открывают какую-либо уязвимость/уязвимости?
CORS сам по себе ничего не делает, это просто указание браузеру «у меня вот такие ограничения, если ты их понимаешь... а если не понимаешь, то и не надо».

Написано более трёх лет назад
Сергей delphinpro @delphinpro

Для локальной разработки (на локалхосте) нужно в вебпаке настроить проксю :8080 => :8000.

Написано более трёх лет назад

Сергей delphinpro @delphinpro

devServer: {
        proxy: {
            '^/api': {
                target      : 'http://127.0.0.1:8000',
            },
        },
    },

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Nuxt.js

+1 ещё

Простой
Nuxt 3. Как достучаться до localhost на стороне клиента (cors)?
- 1 подписчик
- 22 апр.
- 35 просмотров
0

ответов
Laravel

+2 ещё

Простой
Как побороть проблему CORS в Laravel?
- 1 подписчик
- 10 апр.
- 140 просмотров
0

ответов
JavaScript

+3 ещё

Простой
Работа с api/hash или как правильно защитить http/fetch запросы на сайте?
- 1 подписчик
- 05 мар.
- 169 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Обойти CORS запрос?
- 1 подписчик
- 28 февр.
- 310 просмотров
0

ответов
Nginx

+1 ещё

Простой
Не активируется CORS on Nginx?
- 1 подписчик
- 26 февр.
- 129 просмотров
1

ответ
Nginx

+3 ещё

Простой
Прошу пояснить за CORS в отношении панели X-UI, почему ошибка?
- 1 подписчик
- 11 февр.
- 95 просмотров
1

ответ
Node.js

+2 ещё

Простой
Какие есть способы помимо cors для доступа к api серверу клиенту на другом домене или приложению?
- 1 подписчик
- 26 янв.
- 78 просмотров
0

ответов
React

+4 ещё

Средний
Как получить с доступ к react статике через nginx, с использованием домена?
- 1 подписчик
- 24 янв.
- 93 просмотра
0

ответов
JavaScript

+3 ещё

Средний
Ошибка CORS при взаимодействии с ЮКасса?
- 2 подписчика
- 16 янв.
- 250 просмотров
2

ответа
Node.js

+2 ещё

Простой
Почему выдает ошибку cors?
- 2 подписчика
- 07 дек. 2023
- 266 просмотров
0

ответов
Показать ещё Загружается…

Платформенный инженер

ИТ Плюс • Пермь

от 250 000 ₽

Senior Backend Engineer в агрегатор нейросетей (150к DAU)

NN Media

от 300 000 до 500 000 ₽

Тестировщик SberOs

Сбер • Санкт-Петербург

от 80 000 до 150 000 ₽

Настроить перехват https-трафика для android-приложения

25 апр. 2024, в 01:02

10000 руб./за проект

Программа (скрипт) для автоматизации торговли Solana

25 апр. 2024, в 00:45

100 руб./в час

Телеграм-Бот для выдачи конфигов VPN (VLESS/Reality)

25 апр. 2024, в 00:32

10000 руб./за проект

Answer 1 · 2019-09-22 14:11:34

Невозможно сказать, «безопасно ли использовать строки, приведенные выше», потому что это твоё приложение и твоя логика.
Но как минимум Access-Control-Allow-Origin: * сводит на нет вообще весь смысл CORS.

Как организовать безопасные запросы Vue-Laravel?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт