CORS बेवकूफ है

1. समझें कि CORS ब्राउज़र डिज़ाइन की खामियों को पूरा करने के लिए एक अस्थायी उपाय है।

• CORS (Cross-Origin Resource Sharing) cross-origin requests में implicit credentials से पैदा होने वाली security problems को संबोधित करता है।
• ब्राउज़र का default behavior users को XSRF attacks के जोखिम में डाल सकता है।
• CORS इन समस्याओं को कम करने की कोशिश करता है, लेकिन security के दायरे में इसकी बुनियादी सीमाएँ हैं।

2. CORS cross-origin request के result को पढ़ने से रोकता है, लेकिन request को खुद block नहीं करता।

• fun-games.example, your-bank.example का data नहीं पढ़ सकता, लेकिन फिर भी fund transfer जैसे state-changing requests कर सकता है।
• ऐसा इसलिए है क्योंकि ब्राउज़र default रूप से cookies और credentials को जिस तरह handle करता है, वही इसका कारण है।

3. प्रभावी cross-origin security की शुरुआत implicit credentials को अनदेखा करने से होती है।

• cross-origin requests में cookies और इसी तरह के credentials को हटा दें या उन्हें explicitly allow करें।
• Sec-Fetch-* headers का उपयोग करके cross-origin cookies को filter या remove करने वाला middleware इस्तेमाल करें।

4. explicit credentials, implicit credentials की तुलना में अधिक सुरक्षित विकल्प हैं।

• cookies की जगह authentication token के लिए Authorization header का उपयोग करें।
• explicit credentials अलग-अलग sites के बीच credentials के दुरुपयोग को रोकते हैं।
• यह server-rendered sites के लिए उपयुक्त नहीं है, लेकिन APIs और client-side applications के लिए सबसे अच्छा तरीका है।

5. cross-origin credential उपयोग को सीमित करने के लिए SameSite cookies लागू करें।

• default रूप से cross-origin requests में cookies शामिल न हों, इसके लिए SameSite=Lax का उपयोग करें।
• अधिक सख्त policy के लिए SameSite=Strict चुनें। हालांकि, इससे usability प्रभावित हो सकती है, जैसे cross-origin navigation के बाद logout हो जाना।

6. सरल और सुरक्षित CORS policy अपनाएँ।

• default policy: Access-Control-Allow-Origin: * और Access-Control-Allow-Methods: * केवल anonymous access की अनुमति देते हैं।
• यह policy cross-origin requests में implicit credentials को निष्क्रिय करती है, जिससे site अनचाहे credential misuse से सुरक्षित रहती है।

7. security के लिए CORS policy को जरूरत से ज्यादा जटिल न बनाएं।

• जरूरत से ज्यादा specific settings गलत सुरक्षा-बोध पैदा कर सकती हैं।
• CORS proxies और अन्य workarounds browser-enforced policies को bypass कर सकते हैं, जिससे access restrictions लागू करने की कोशिश बेअसर हो जाती है।

8. अधिक सुरक्षित web defaults की ओर बढ़ते व्यापक प्रयास को समझें।

• browsers cross-origin credentials समस्या से निपटने के लिए State Partitioning (Firefox), Tracking Prevention (Safari), और CHIPS (Chrome) जैसे approaches को explore कर रहे हैं।
• इन initiatives का लक्ष्य origins के बीच cookies और credentials sharing को सीमित करके user security और privacy को बेहतर बनाना है।

9. समझें कि CORS एक अपूर्ण समाधान है।

• CORS की backward compatibility जटिलता बढ़ाती है, लेकिन मूल security समस्या को पूरी तरह हल नहीं करती।
• browsers इन समस्याओं को कम करने के लिए नए approaches धीरे-धीरे अपना रहे हैं, लेकिन प्रगति एकसमान नहीं है।