Можно ли обойти CORS политику при отправке запроса на чужой домен?

Question

[Денис Пабло]

У нас есть домен: vasyanet.com и мы хотим использовать api на чужом домене alisanet.com но в результате отправки запроса GET или любым другим методом в ответе от alisanet.com возвращается strict-origin-when-cross-origin

Comments

[Lynn «Кофеман»]

Если вопрос в том что бы забирать «залогиновые» данные в произвольном браузере без желания alisanet, то никак. Именно против такого CORS и задуман.

[Lynn «Кофеман»]

В своём собственном браузере вы можете просто отключить CORS, или поставить какое-нибудь расширение.

Answer 1

[zkrvndm]

Можно. Для этого достаточно проксировать запрос через свой сервер, который добавит нужные заголовки и удалит не нужные. Также можно написать браузерное расширение, фоновый процесс расширений может делать запросы игнорируя CORS.

Comments

[Sanes]

Не прокатит. Принимающий проверяет подлинность домена.

[shurshur]

Sanes, ерунда. CORS просто подсказка браузеру пользователя не грузить контент по инициативе сайто вне определённого списка.

[Sanes]

shurshur, ну конечно. От нехрен делать придумали и не проверили подмену домена.

[zkrvndm]

Sanes, я в проектах использую специальный прокси на своём сервере для обхода CORS. Никогда проблем у меня не было с этим.

[Sanes]

Надим Закиров, как минимум с распростаненными браузерами этот фокус не прокатит.

[zkrvndm]

Sanes, со всеми браузерами катит. Ты не понимаешь механизма работы, просто прими как факт.

[Александр Аксентьев]

Sanes, причем здесь браузеры-то вообще.

Мы делаем запрос на свой бекенд который CURLом идёт на нужный сайт без всяких запретов по CORS, потому что CORS работает только в браузере, это браузер решает сделать запрос или не сделать в зависимости от ответа сервера, браузер из этой цепочки мы исключаем.

[shurshur]

Sanes, ты не понимаешь, что такое CORS и как работает. Это именно подсказка браузеру в ответе сервера, которую браузер (или иной http-клиент) может просто игнорировать.

[zkrvndm]

shurshur, и игнорирует, если запрос делать из фоновой страницы расширения, например. Если нет возможности написать расширение для браузера, то можно проксировать запросы через свой собственный сервер.

Answer 2

[Bob89991]

На домене alisanet.com должны быть прописаны разрешения для кроссдоменных запросов