_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

CORS konfigurace — Cross-Origin Resource Sharing

01. 01. 2024 1 min čtení intermediate

CORS říká prohlížeči, zda JavaScript na jedné doméně smí komunikovat s API na jiné doméně. Špatná konfigurace = nefunkční frontend nebo bezpečnostní díra.

CORS headers

Access-Control-Allow-Origin: https://app.example.com Access-Control-Allow-Methods: GET, POST, PUT, DELETE Access-Control-Allow-Headers: Content-Type, Authorization Access-Control-Allow-Credentials: true

Konfigurace — Express.js

const cors = require(‘cors’); const allowed = [‘https://app.example.com’, ‘https://admin.example.com’]; app.use(cors({ origin: (origin, cb) => { if (!origin || allowed.includes(origin)) cb(null, true); else cb(new Error(‘Not allowed’)); }, credentials: true, })); // ❌ NIKDY: cors({ origin: ‘*‘, credentials: true })

Typické chyby

  • Wildcard s credentials — nefunguje
  • Reflection origin bez validace
  • Null origin povolený

Klíčový takeaway

Whitelistujte konkrétní origins, nikdy wildcard s credentials.

securitycorsapiweb

Další know-how

API Key Management — správa API klíčů

Jak bezpečně generovat, ukládat, rotovat a revokovat API klíče.

OWASP Top 10 — bezpecnost webovych aplikaci

OWASP doporuceni v Java EE. SQL injection, XSS, CSRF a jak se branit.

OAuth 2.0 a JWT — moderní autentizace pro mikroslužby

Jak implementovat OAuth 2.0 a JSON Web Tokens pro zabezpečení REST API a mikroslužeb.