@@pavlenkoat это был один из комментариев для продвижения ролика. Первый комментарий, что все понятно, а на второй вы ответили. ))) Успехов в развитии канала! ;-)
@@pavlenkoat понятно что браузер отправляет серверу, и понятно какую пару заголовков надо отдавать с сервера, но тема сисек не раскрыта. Про PUT/PATCH/DELETEни слова, и эти типы запросов не будут работать, пока их не разрешишь. Мне казалось, что предварительные это точно OPTIONS и возможно HEAD, браузер с их помощью как раз узнает CORS политику сервера и в соответствии с ней, что то дальше разрешает или запрещает. Я год назад маялся с этим CORS, подробностей не помню. Надеялся в этом видео освежить воспоминания и узнать как правильно настроить NGINX. Надеялся будет практическая часть, но видимо это не твой формат. А было бы прикольно из браузера отправлять запросы на сервер, который не настроен, получать ошибки в браузере, и постепенно настраивать сервер, добавлять одну за другой опции в конфиг и смотреть как меняется реакция браузера.
6:32 самый важный момент, так как на собеседованиях я заметил, что те, кто отвечают что такое CORS'ы, не понимают на какой стороне это контролируется. Считают, что эти проверки и отклонение запроса делаются на серверной стороне
Вы совершенно правы. Самое главное тут понимать что все это делает браузер, сам спрашиваем, сам смотрит заголовки, сам выкидывает ошибку если что-то не так
@@voidmain90 может что-то и рулится у вас на сервере, то это называется не CORS. Сервер только отдает хэдеры, и не важно будет это nginx или что-то другое. А сам CORS это браузерная технология, а серверы между собой могут спокойно общаться и CORS там ниоткуда не появится
@@ni55an Если браузер рулит тут значит мы на это не можем повлиять? Ещё как можем..и делается это на сервере. Браузер же оценивая заголовки от сервера делает свою работу по блокировки или нет. Но разработчики управляют настройками cors на серваке. Т.е. именно я как разработчик своего апи на сервере решаю кто и с каких урлов ко мне могут прийти а не браузер по каким то своим неведомым/магическим причинам.
Вот тоже не понимаю, зачем вообще эта тема с сказкой и аналогией, неужели так тяжело просто объяснить как все работает как оно есть а после показать реальный пример
Спасибо большое за вашу работу, намного лучше понял принцип CORS. Стоит отдельно оценить пример, креативно и понятно)) Автору успехов и вам тоже, друзья!
Спасибо хорошее видео, только главный момент я так и не понял, чем эти корсы так опасны. переслушал несколько раз 3:06. Как можно послать ссылку юзеру даже есть нет корса? Корс проверяет чтобы запрос на сервер шёл только с нужных нам доменов. Но ведь все запросы и так валидируются, и если что-то не то пришло на сервер, он в любом случае не позволит, хоть со своего домена хоть с чужого.
Как заставить браузер отправлять заголовок "Origin"? Через cURL получается это сделать, а вот браузер отказывается отправлять заголовк для простого GET запроса.
1:05 Ха... Решил применить паттерн "Мост" для объяснения В этом паттерне есть абстрактная часть (объяснить cors) И так называемый реализатор (из каких именно шагов состоит это абстрактное понятие: объяснить cors)
Не понимаю... Для того, что бы узнать, уязвим ли тестируемый сайт, мне необходимо импортировать запрос из дэвтулс в постман (к примеру) и внутри постман в заголовках изменить origin на любой другой сайт, и если данный запрос успешно отправляется, то получается что уязвимость CORS обнаружена и надо составлять баг-репорт?
Спасибо за ролик, за 8 минут вполне дает общее представление о том, что это и зачем нужно. В моем случае было более подходяще, чем читать огромную подробную пеленку на mdn
Приветствую. Пишу еще один благодарный комментарий. И вообще, подобного рода контент чудесен и прекрасен! И даже если будет ЧАС! то это ЧАС ГОДНОТЫ, а не ДОМ2.
Это контроль на стороне браузера, типа браузер не даст вам сделать такой запрос если сервер прислал такие заголовки. Только со стороны браузера это вырубается легче легкого. Например если запустить тот же chrome с ключом --disable-web-security, то все эти корс до жопы.
Подскажите где брать драйвера на видео, сетевую карту, wifi: Xubuntu 16.04 lts, ноут Dell Inspiron 1520(2007 год). Или нужно заказывать индивидуальный фикс у программистов, цена? Сетевая вместо 100 даёт 60 мб/с, wifi вместо 50 даёт 20 мб/с, видео страшно тормозит в goole карта в режиме street view.
ммм, как сейчас помню, как с ними разбирался. Документация вроде есть, всроде все объяснено, а ни черта не понятно, зачем это все происходит, на чьей стороне контролируется. А видос хороший, хотя довольно минималистичный.
Чёртов ютуб сыпет ошибками CORS в консоль. Могу смотреть только те ролики, которые хранятся на русских серверах. Что делать? У меня пена изо рта скоро пойдёт от злости, раздражает ужасно
Автор, большое спасибо за объяснение, но ничего непонятно.
;-)
Что непонятно?
@@pavlenkoat это был один из комментариев для продвижения ролика. Первый комментарий, что все понятно, а на второй вы ответили. )))
Успехов в развитии канала!
;-)
Спасибо
@@pavlenkoat понятно что браузер отправляет серверу, и понятно какую пару заголовков надо отдавать с сервера, но тема сисек не раскрыта.
Про PUT/PATCH/DELETEни слова, и эти типы запросов не будут работать, пока их не разрешишь.
Мне казалось, что предварительные это точно OPTIONS и возможно HEAD, браузер с их помощью как раз узнает CORS политику сервера и в соответствии с ней, что то дальше разрешает или запрещает.
Я год назад маялся с этим CORS, подробностей не помню. Надеялся в этом видео освежить воспоминания и узнать как правильно настроить NGINX.
Надеялся будет практическая часть, но видимо это не твой формат.
А было бы прикольно из браузера отправлять запросы на сервер, который не настроен, получать ошибки в браузере, и постепенно настраивать сервер, добавлять одну за другой опции в конфиг и смотреть как меняется реакция браузера.
@@SbWereWolf Я JS не знаю, а знакомые фронтендеры были заняты. Сожалею об этом, но сроки поджимали.
Достаточно простое объяснение не самой легкой для понимания темы. Годно)
6:32 самый важный момент, так как на собеседованиях я заметил, что те, кто отвечают что такое CORS'ы, не понимают на какой стороне это контролируется. Считают, что эти проверки и отклонение запроса делаются на серверной стороне
Да-да. Тоже замечал. В ролике я несколько раз говорю об этом, но наверно не так заметно
Вы совершенно правы. Самое главное тут понимать что все это делает браузер, сам спрашиваем, сам смотрит заголовки, сам выкидывает ошибку если что-то не так
ну так сервером тоже контролируется. не добавлю я в nginx возможность обращаться к серваку с др домена и браузер залочит. Как раз на сервере и рулится
@@voidmain90 может что-то и рулится у вас на сервере, то это называется не CORS. Сервер только отдает хэдеры, и не важно будет это nginx или что-то другое. А сам CORS это браузерная технология, а серверы между собой могут спокойно общаться и CORS там ниоткуда не появится
@@ni55an Если браузер рулит тут значит мы на это не можем повлиять? Ещё как можем..и делается это на сервере. Браузер же оценивая заголовки от сервера делает свою работу по блокировки или нет. Но разработчики управляют настройками cors на серваке. Т.е. именно я как разработчик своего апи на сервере решаю кто и с каких урлов ко мне могут прийти а не браузер по каким то своим неведомым/магическим причинам.
все равно не понял
ща опять посмотрел, нифига не понял. захожу в комменты и вижу свой старый коммент
@@intruder70я тебя на кодебай видел
@@shadymindyt Кодбай тема ❤
Вот тоже не понимаю, зачем вообще эта тема с сказкой и аналогией, неужели так тяжело просто объяснить как все работает как оно есть а после показать реальный пример
Спасибо за видео. Классно и понятно. Пример с козлятами вообще огонь!)))
Важная тема. Спасибо за объяснение. Ее любят спрашивать на собеседованиях 😃 А такие харды - это показатель экспертности.
Так я специально ходу на собеседования чтобы снимать видео на актуальные темы)))))
Спасибо! Который раз возвращаюсь к вопросу cors, решил въехать окончательно) Видео отлично легло на ранее прочитанную инфу и заполнило все пробелы.
Я буквально 10 минут назад изучал статью про CORS и тут видео по этой теме вышло 🤔
Большой брат следит за тобой
@@pavlenkoat Тогда прошу большого брата ещё и видео про прокси сервера выпустить. Мне лично было бы очень интересно послушать 🤗
@@timursholokh8520 Nginx? вот видос th-cam.com/video/ixfnxLqcLOs/w-d-xo.html
Спасибо большое за вашу работу, намного лучше понял принцип CORS. Стоит отдельно оценить пример, креативно и понятно)) Автору успехов и вам тоже, друзья!
Спасибо за разъяснения, образовательный контент всегда хорошо:) Всё стороннего прогресса и развития :)
Супер круто, начал чуток понимать, когда прочитал 5 статей, потом решил зайти на ютуб, эврика! Спасибо!
Благодарим, Антон!
прекрасные ассоциации, спасибо вам за работу!)
Очень инетересно, но ничего не понятно xD Нужны нормальные примеры: вот мы отправили, получили ошибку; вот мы дописали заголовок - все сработало.
Спасибо тебе добрый человек. Немного прояснил эту мутную тему и навел на нужные мысли
Спасибо брат что объяснил, успехов и процветания твоему каналу!!!
Куда прописывать эти команды, подскажите? Извините за тупой вопрос)
прекрасные ассоциации, спасибо вам за работу!
А как найти видео где рассказываается про заголовки в nginx?
Просто офигенно. Спасибо!
Отличное объяснение, автору респект )
Спасибо большое! Очень полезное видео :)
вообще супер круто объяснил!!!спасибо тебе!!шикарно!
Красавчик, пересматривал коды и само видео много раз, но благодаря тебе новички поймут данную тему! Спасибо!
Да, хорошая тема, теперь стало более понятно
Братан хорош! Давай вперёд! Контент в кайф! Можно ещё? Вообще красавчик!
Спасибо хорошее видео, только главный момент я так и не понял, чем эти корсы так опасны.
переслушал несколько раз 3:06.
Как можно послать ссылку юзеру даже есть нет корса?
Корс проверяет чтобы запрос на сервер шёл только с нужных нам доменов.
Но ведь все запросы и так валидируются, и если что-то не то пришло на сервер, он в любом случае не позволит, хоть со своего домена хоть с чужого.
Как заставить браузер отправлять заголовок "Origin"? Через cURL получается это сделать, а вот браузер отказывается отправлять заголовк для простого GET запроса.
Так а что мешает волку взять этот origin header с нашего сайта?
Спасибо за объяснения!
подход оъяснения нормальный, продолжай в этом же духе
Благодарность в комментарии!👍🏻
Cors в react тоже нужен?
Спасибо, понятно и доступно!
Спасибо Вам большое 🤍
Эти nginx-настройки нужно добавлять на сервере апи, куда я делаю запрос (на другой домен)?
Да, спасибо большое, тестерам тоже знать надо)
Спасибо Антон!
Спасибо. Классное объяснение.
Спасибо! Очень понятно и просто
Актуально, спасибо!
Спасибо! Стало немного понятнее
Самое главное я понял, что весь контроль происходит на стороне пользователя.
Спасибо за абстрактный пример.
Отличный урок, благодарю за информативность, актуальная информация, как всегда на уровне
огонь, пример с козлятами потрясный. Очень просто и понятно, спасибо!
Спасибо за видео)
Спасибо огромное, наконец-то понял что за CORS и чем опасна его ошибка валидации
Хорошее видео, спасибо!
CORS-регулятор общения через аякс? А конкретно тогда это стандарт передачи запросов или конкретная библиотека какого то фреймворка?
спасибо за видео.
Спасибо, за видео.
Совсем недавно столкнулся с ошибкой CORS.
Это было при написании Single page application (SPA) на Laravel PHP framework и Vue.js.
Вот спасибо все объяснил. Теперь понятно. А было не понятно.
Если я в NGINX server ставлю add header 'Access-Control-Allow-Origin' '*' always - что дает такая запись в настройках NGINX?
Автор, большое спасибо. Все понятно объяснил.
;-)
Спасибо большое!
1:05 Ха... Решил применить паттерн "Мост" для объяснения
В этом паттерне есть абстрактная часть (объяснить cors)
И так называемый реализатор (из каких именно шагов состоит это абстрактное понятие: объяснить cors)
Не понимаю... Для того, что бы узнать, уязвим ли тестируемый сайт, мне необходимо импортировать запрос из дэвтулс в постман (к примеру) и внутри постман в заголовках изменить origin на любой другой сайт, и если данный запрос успешно отправляется, то получается что уязвимость CORS обнаружена и надо составлять баг-репорт?
Спасибо за ролик, за 8 минут вполне дает общее представление о том, что это и зачем нужно. В моем случае было более подходяще, чем читать огромную подробную пеленку на mdn
Приветствую. Пишу еще один благодарный комментарий. И вообще, подобного рода контент чудесен и прекрасен! И даже если будет ЧАС! то это ЧАС ГОДНОТЫ, а не ДОМ2.
Даже что-то поняла, вроде. Спасибо
Это хорошо)))
Про волка с меркантильной целью смешно получилось)
если у меня нет доступа к серверу, каким образом я мог бы достучаться все равно к нему, например изменив hosts в винде?
а XSS подвезут?
классный рассказ ))
спасибо!
Это контроль на стороне браузера, типа браузер не даст вам сделать такой запрос если сервер прислал такие заголовки. Только со стороны браузера это вырубается легче легкого. Например если запустить тот же chrome с ключом --disable-web-security, то все эти корс до жопы.
Так это ж для твоей безопасности. Чтобы небыло ситуации которую я описал в видео
@@pavlenkoat Ну да точно. Злоумышленники же никак не смогут отключить безопасность браузера.
Ну да.
Хорошо, что вы все объяснили, плохо, что я ничего не понял
Супер, спасибо!
Антон, спасибо за разъяснения! Очень исчерпывающе!
Всегда пожалуйста))))
Про козлятник - Просто ТОП
добрый день. а что такое CORB?
Спасибо за объяснение. Да, про то что это браузерная технология и именно на стороне клиента происходит верификация - это очень важная штука.
Боже ну наконец-то нормально обьяснение с примером. Спасибо большое автору, реально помог понять.
объяснение муторное, много воды, а по сути 5 копеек
Абстрактные примеры для новичков всегда хорошы
жи-ши
Подскажите где брать драйвера на видео, сетевую карту, wifi: Xubuntu 16.04 lts, ноут Dell Inspiron 1520(2007 год). Или нужно заказывать индивидуальный фикс у программистов, цена? Сетевая вместо 100 даёт 60 мб/с, wifi вместо 50 даёт 20 мб/с, видео страшно тормозит в goole карта в режиме street view.
занятно, почти понятно
круто, спасибо
про козлят четко зашло! но немного режет ухо, произношение английских слов
С разговорным английским туго.
Спасибо
За козлят - лайк. Интересная интерпритация. ))
Благодарю. Стараюсь придумывать что-то необычное. Мне нравится творческий подход, а не слепая теория которую можно в интернете прочитать.
Ничего не понятно, но очень интересно
ммм, как сейчас помню, как с ними разбирался. Документация вроде есть, всроде все объяснено, а ни черта не понятно, зачем это все происходит, на чьей стороне контролируется. А видос хороший, хотя довольно минималистичный.
спасибо!
ничего не понял, но очень интересно! :)
Спасибо!
Пожалуйста
Spasibo aktualno
Вот только с ним недавно любовью занимался на бэке (
Я на фронте
Cool, thanks
спасибо, мэн)
хороший подход
Не нравятся конфиги приложения, хотя сам добавил домены в конфиг nginx'а ))
хорошо придумал с козлятами, тему раскрыл полностью. Снимай ещё.
Идея хорошая, чуток теории и практика
Автор, мне нравится стиль изложения, но html может быть не статичным, а ajax далеко не единственный способ взаимодействия с бекендом.
Всё верно. Спасибо.
Сказка учит тому, что нефиг пароль передавать в нехешированном виде
передавать можешь как угодно, главное чтоб сам канал был зашифрован. а вот хранить только хеш
ничего не понятно, но очень интересно)
Отлично объясняете.
Козлятушки, Программистюшки )))😂
2 дня раньше бы выпустил видос)
2 дня назад оно ещё небыло готово
О том что я собирался писать данное видео писал в телеграмме канале
Чёртов ютуб сыпет ошибками CORS в консоль. Могу смотреть только те ролики, которые хранятся на русских серверах. Что делать? У меня пена изо рта скоро пойдёт от злости, раздражает ужасно
Класс
Пасиб