Как работает CORS и клиентские запросы в целом?

Question

[Senbonzakuraa]

Допустим есть 3 домена:

myserver.com - Здесь расположен мой сервер с API.

myclient.com - Здесь расположен мой клиент которому разрешен доступ к моему API.

anyclient.com - Здесь чужой клиент который кидает запросы на мой сервер.

Далее с myclient.com идет запрос на myserver.com:

get('https://myserver.com/api/getUsers');
Вопрос - поймет ли мой сервер что запрос был отправлен с домена myclient.com? или же он будет расценивать что запрос идет с myserver.com?

Я хочу чтоб запросы на мой сервер проходили только с домена myclient.com и исключить возможность запросов с домена anyclient.com. Возможно ли использовать CORS для этого?

Comments

[WapSter]

CORS для защиты клиента, не сервера. Таким образом ты сможешь ограничить запросы лишь из браузера, так-как он подставляет нужные для CORS заголовки. Все остальные запросы будут проходить откуда угодно

[Lynn «Кофеман»]

https://learn.javascript.ru/fetch-crossorigin вы уже прочитали учебник?

Answer 1

[InfernoElegy]

Возможно. Корс именно для этого и создавался.
На стороне вашего сервера вы должны возвращать заголовки
Access-Control-Allow-Origin: https://myclient.com
Access-Control-Allow-Methods: POST, GET, OPTIONS, ...
Access-Control-Allow-Headers: Content-Type, ...

Теперь браузер anyclient.com будет блокировать запрос, когда увидит что сервер не дал разрешения на запрос с текущего домена