Kökler Arası Kaynak Paylaşımı

[bullvar_katip]

Cross-Origin Resource Sharing (CORS), bir web sayfası üzerindeki bazı kaynakların (örneğin font dosyaları), kaynağın sunulduğu alan adının dışındaki bir alan adından istenebilmesine izin veren bir mekanizmadır. Bir web sayfası, özgürce kökler arası resimleri, stil sayfalarını, betikleri ve videoları ekleyebilmektedir. Ancak, bazı “alanlar arası” istekler, özellikle Ajax istekleri, Aynı Kök Politikası nedeniyle varsayılan olarak yasaklanmıştır. CORS, kökler arası isteklerin güvenli olup olmadığına karar vermek için tarayıcı ve sunucu arasında bir etkileşimin nasıl yapılacağını tanımlamaktadır. Aynı kök isteklerine oranla daha fazla özgürlük ve işlevsellik sağlamaktadır, ancak basitçe tüm kökler arası isteklere izin vermekten daha güvenlidir. W3C tarafından da önerilen standart olmuştur. CORS güvenlik ile ilgili değildir, içerik sahipliğinin korunması ile ilgilidir. Saldırganların Aynı Kök Politikası'na (SOP) uyması beklenmemelidir. CORS pek çok tarayıcı üzerinden kolayca devre dışı bırakılabilmektedir. CORS nasıl çalışır? CORS standardı, tarayıcı ve sunucuların izinleri olması halinde uzak URL’lere istekte bulunabileceği bir yöntem sunan yeni HTTP başlıkları tanımlamaktadır. Bazı doğrulama ve yetkilendirme sunucu tarafından yapılsa da, bu başlıkları desteklemek ve belirttikleri kısıtlamaları uygulamak tarayıcıların sorumluluğundadır. Veriyi değiştirebilen Ajax ve HTTP istek metotları (genellikle GET dışındaki HTTP metotları veya bazı MIME türleri ile POST kullanımı) için, tanımlama, tarayıcıların sunucudan HTTP OPTIONS istek metodu ile desteklenen metotları öğrenerek ve sunucudan onay aldıktan sonra asıl HTTP metodu ile asıl isteği göndererek bir ön kontrol yapmalarını zorunlu tutmaktadır. Sunucular, login bilgilerinin (çerezler ve HTTP kimlik doğrulama verisi dahil) isteklerle birlikte gönderilip gönderilememesi konusunda istemcileri de bilgilendirebilmektedir. Dosya:Flowchart_showing_Simple_and_Preflight_XHR.svg Basit bir örnek Aynı Kök Politikası kullanılırken, genelde uygun olmamaktadır. CORS uyumlu bir tarayıcı kökler arası bir istek yapmak istediğinde: Tarayıcı HTTP başlığı ile bir OPTIONS isteği göndermektedir. Bu başlığın değeri, ana sayfayı sunan alan adı olmaktadır. alan adından bir sayfa, service.example.com üzerindeki bir kullanıcı verisine erişmek istediğinde, aşağıdaki istek başlığı service.example.com’a gönderilecektir: service.example.com üzerindeki sunucunun cavabı aşağıdakileri içerebilir: Hangi kök sayfalarına izin verildiğini gösteren bir (ACAO) başlığı. Örneğin: Eğer sunucu kökler arası isteklere izin vermiyorsa bir hata sayfası Tüm alan adlarına izin veren bir karakter içeren (ACAO) başlığı: Bir karakter aynı kök politikası, bir sayfa veya API tamamen erişilebilir bir içerik olarak düşünüldüğünde ve herhangi bir site üzerindeki herhangi bir kod dahil herkes için erişilebilir olması amaçlandığında uygundur. Örneğin, Google Fonts gibi genel bir servis sunucusu üzerindeki bir web fontu. Yıldız karakterli aynı kök politikası, sayfaların tahmin edilemez URL’lere sahip olduğu ve bunu bilen kişiler tarafından erişilebilir olduğu varsayılan nesne yeterlilik modelinde yaygın olarak kullanılmaktadır. “*” değeri, HTTP kimlik doğrulama, istemci taraflı SSL sertifikaları ve çerezlerin gönderilmesine izin vermemesi açısından önem taşımaktadır. CORS mimarisinde, ACAO başlığı asıl web uygulama sunucusu (www.example.com) tarafından değil harici web servisi (service.example.com) tarafından belirlenmektedir. CORS, web servisin web uygulamasına kaynaklarını kullanması için yetkilendirmesine izin vermektedir ve uygulama tarafından erişilen harici servisleri kontrol etmemektedir. İkincisi için, İçerik Güvenlik Politikası kullanılmalıdır ( direktifi). Ön Kontrol örneği Bazı kökler arası Ajax istekleri gönderilirken, CORS’u destekleyen modern tarayıcılar, belirtilen aksiyonu yapma yetkisinin olup olmadığına karar vermek için ilave bir "ön kontrol" isteği eklemektedir.Eğer service.example.com isteği kabul etmek istiyorsa, aşağıdaki başlıklarla cevap verebilir: Başlıklar CORS ile ilgili HTTP başlıkları İstek başlıkları Origin Access-Control-Request-Method Access-Control-Request-Headers Cevap başlıkları Access-Control-Allow-Origin Access-Control-Allow-Credentials Access-Control-Expose-Headers Access-Control-Max-Age Access-Control-Allow-Methods Access-Control-Allow-Headers Tarayıcı Desteği CORS, aşağıdaki tarayıcı görüntüleme motorlarına dayanan tüm tarayıcılar tarafından desteklenmektedir: Blink- ve Chromium tabanlı tarayıcılar (Chrome 28+, Opera 15+, Amazon Silk, Android's 4.4+ WebView ve Qt's WebEngine) Gecko 1.9.1 (Firefox 3.5, SeaMonkey 2.0, Camino 2.1) ve üstü. MSHTML/Trident 6.0 (Internet Explorer 10) doğal destek sunmaktadır. MSHTML/Trident 4.0 & 5.0 (Internet Explorer 8 & 9) XDomainRequest nesnesi aracılığıyla kısmi destek sağlamaktadır. Presto tabanlı tarayıcılar (Opera) Opera 12.00 ve Opera Mobile 12 ile beraber CORS'u desteklemektedir (Opera Mini hariç). WebKit (Safari 4 ve üstü, Google Chrome 3 ve üstü ve muhtemelen öncesi). Aşağıdaki tarayıcılarda CORS desteği bulunmamaktadır: Camino 2.0.x sürümlerinde CORS'u uygulamamaktadır, çünkü bu sürümler Gecko 1.9.0 tabanlıdır. 0.10.2 versiyonu ile beraber, Arora WebKit'in CORS ile ilgili API'lerini kullanmaktadır, ancak kökler arası istekler başarısız olmaktadır. Tarih Kökler arası destek, VoiceXML tarayıcılarında güvenli kökler arası veri isteklerine izin vermek için VoiceXML 2.1 sürümünde yer alması için Mart 2004'te Tellme Networks çalışanlarından Matt Oshry, Brad Porter ve Michael Bodell tarafından önerilmiştir. Mekanizma VoiceXML’e özgü olmayan genel bir yapıya sahip olarak kabul edilmiştir ve sonrasında bir uygulama notu olarak ayrılmıştır. Ana tarayıcı sağlayıcılarından katılımcılarla birlikte W3C WebApps Çalışma Grubu, bu notu resmi W3C Öneri durumuna getirmek üzere W3C Çalışma Taslağı olarak resmileştirmeye başlamıştır. Mayıs 2006'da ilk W3C Çalışma Taslağı sunulmuştur. Mart 2009'da taslak "Cross Origin Resource Sharing" olarak isim değiştirmiştir ve Ocak 2014'te bir W3C Önerisi olarak kabul edilmiştir. CORS vs JSONP CORS, JSONP’ye karşı modern bir alternatif olarak da kullanılabilmektedir. JSONP sadece GET isteklerini desteklerken, CORS diğer HTTP istek türlerini de desteklemektedir. CORS kullanımı, JSONP’den daha iyi hata işleme imkânları sunan XMLHttpRequest’lerin web programcıları tarafından kullanılabilmesine imkân tanımaktadır. CORS pek çok modern tarayıcı tarafından desteklenmektedir. JSONP, harici site ele geçirildiğinde siteler arası betik çalıştırma (XSS) sorunlarına yol açabilirken, CORS güvenliği sağlamak için web sayfalarının cevapları manuel olarak işlemesine izin vermektedir. Ayrıca bakınız İçerik Güvenlik Politikası Dokümanlar Arası Mesajlaşma JSONP Kaynakça Dış bağlantılar W3C Önerisi ve Geliştiriciler için Uygulama Esasları Kullanım Rehberi CORS'u aktif etme HTML5 Rocks CORS çalışma mekanizması anlatımı CORS desteği testi CORS ile ilgili Mozilla Developer Network yazısı Kategori:AJAX Kategori:W3C standartları