CORS и CSRF

1. Что такое CORS и CSRF и почему их путают даже опытные разработчики?

CORS (Cross-Origin Resource Sharing) — это механизм браузера, который контролирует доступ к ресурсам с другого источника (домена, порта, протокола). CSRF (Cross-Site Request Forgery) — это атака, при которой злоумышленник заставляет браузер жертвы выполнить нежелательное действие на сайте, где пользователь аутентифицирован. Главное различие: CORS — политика безопасности браузера, а CSRF — уязвимость самого приложения. На платформе обучения эти темы рассматриваются изолированно, но в реальных проектах их путают, потому что обе связаны с междоменными запросами. В 2026 году до 40% инцидентов безопасности в веб-приложениях происходят именно из-за неправильной конфигурации этих двух механизмов.

2. Как происходит заказ консультации или готового решения по CORS/CSRF на вашей платформе?

Процесс начинается с заполнения технического брифа: вы указываете архитектуру проекта (SPA, серверное приложение, мобильный клиент), список используемых доменов и методы HTTP (GET, POST, DELETE). После этого в течение 2–4 рабочих часов (по будням) с вами связывается инженер безопасности платформы. На этом этапе не требуется предоплата — только согласование объёма работ. Для стандартных проектов (до 5 эндпоинтов и 3 доменов) типовое решение предлагается в течение 24 часов. Для сложных (микросервисная архитектура, OAuth2, WebSocket) — до 3 дней.

3. Что входит в услуги после оплаты: временные рамки и этапы?

После подписания договора и оплаты вы получаете доступ к личному кабинету проекта. Первый этап (1–2 дня) — аудит текущих заголовков CORS и токенов CSRF на всех окружениях (dev, staging, production). Второй этап (2–4 дня) — разработка конфигурации: выставление Access-Control-Allow-Origin для конкретных источников, настройка preflight-запросов с OPTIONS, внедрение CSRF-токенов через cookie с атрибутами SameSite, Secure, HttpOnly. Третий этап (1 день) — интеграция в ваш CI/CD пайплайн и автоматическое тестирование. Общий срок — от 5 до 8 рабочих дней. В 80% случаев задержки возникают из-за неполного доступа к серверу или отсутствия документации.

4. Как происходит доставка и установка готового решения?

Доставка выполняется через защищённый репозиторий на Git-сервере платформы. Вы получаете: готовый конфигурационный файл для Nginx/Apache или код для middleware на Node.js/Python/Ruby. Для CSRF — плагин или фрагмент кода для генерации и проверки токенов. Установка занимает 15–30 минут: копирование конфига, перезагрузка веб-сервера. Если у вас нет доступа к серверу — инженер подключается по VPN и делает установку удалённо. Важно: после установки обязательно выполняется тестовый сценарий — мы симулируем CSRF-атаку из другого источника. Без вашего явного согласия изменения в боевое окружение не вносятся.

5. Какие гарантии и поддержка предоставляются после внедрения?

После завершения работ предоставляется отчёт с результатами аудита и скриншотами тестов. Гарантия на корректную работу конфигурации — 60 календарных дней. Если в этот период изменится архитектура проекта (добавится новый домен или API), инженер бесплатно адаптирует конфигурацию. Поддержка осуществляется через тикет-систему (отклик до 4 часов) и чат в рабочее время (МСК 10:00–19:00). Для критических ошибок (например, блокировка всех запросов) доступна горячая линия — ответ в течение 1 часа. В рамках годовой подписки (доступна для компаний) вы также получаете ежемесячный мониторинг заголовков CORS и логов CSRF-атак.

6. Какова стоимость услуг и от чего она зависит?

Стоимость базового пакета (аудит + настройка CORS для одного окружения) — от 15 000 ₽. Пакет CSRF (аудит + внедрение токенов + тестирование) — от 25 000 ₽. Комплексный пакет (CORS + CSRF + WebSocket + мобильные клиенты) — от 55 000 ₽. Цена может расти из-за количества эндпоинтов (более 20) или необходимости работы с устаревшими версиями Apache/IIS (2.4 и ниже). Скидка 10% предоставляется при заказе в рамках обучения (курс «Безопасность веб-приложений»). Все цены указаны с НДС, фиксируются в договоре и не меняются в процессе работы.

7. Как это соотносится с обучением: вы получаете только код или ещё и знания?

Ключевое отличие нашего подхода — вы не просто получаете конфигурацию, но и детальное объяснение каждого изменения. После установки инженер проводит 30-минутную видеоконсультацию: показывает, как тестировать CORS через curl и Postman, как проверять CSRF-токены в консоли браузера. Вы получаете шпаргалку (PDF) с типовыми ошибками и способами их исправления. Для участников курсов платформы дополнительно открывается модуль «Продвинутая безопасность» с практическими заданиями. Таким образом, вы не зависите от нас в будущем: сможете самостоятельно расширять конфигурацию.

8. Какие типичные ошибки вы исправляете в 2026 году?

Наиболее частые проблемы, которые мы решаем: использование Access-Control-Allow-Origin: * (звёздочка) с авторизационными cookie (это блокируется браузером), отсутствие заголовка Vary: Origin при динамическом CORS, неправильные preflight-запросы (OPTIONS) из-за нестандартных заголовков вроде X-Requested-With. Для CSRF: неиспользование токенов в формах, слабые токены (генерируемые на стороне клиента), игнорирование заголовка SameSite: Lax при формах с POST-методом. В 2026 году также актуальны атаки на stateful CSRF через сторонние сервисы OAuth — мы обязательно проверяем все redirect URI.

9. Пример процесса: от заявки до приёмки за 7 дней

Реальный кейс: веб-студия (5 разработчиков) заказала комплексный пакет для интернет-магазина на Vue.js + Laravel.

• День 1: заполнение брифа, созвон, определение 8 эндпоинтов API и 2 доменов (основной + CDN).
• День 2: удалённый аудит — выявлено 3 проблемы: звёздочка CORS, отсутствие CSRF-токенов в AJAX, устаревшая версия Laravel (не поддерживает SameSite).
• День 3–4: разработка конфига для Nginx и middleware для Laravel (вручную добавлены CSRF-токены).
• День 5: установка на staging, тестирование через Postman и браузер (Chrome + Firefox).
• День 6: установка на production, выполнение 10 тестовых CSRF-атак (все успешно заблокированы).
• День 7: сдача отчёта, видеоконсультация, передача шпаргалки.

10. Как запросить индивидуальные условия или срочный запуск?

Если ваш проект требует нестандартного подхода (например, работа с устаревшими браузерами IE11, настройка CORS для WebSocket на нестандартном порту) — отправьте запрос через форму на сайте с пометкой «Срочно CORS/CSRF». Инженер свяжется в течение 1 часа. Возможен старт работ в день обращения (анализ + внесение предоплаты 50%). Для компаний с ежегодным контрактом на обслуживание предлагается фиксированная абонентская плата — включены ежемесячные ревизии и круглосуточная поддержка. Уточняйте детали в коммерческом отделе — ответ в течение 4 часов.

Добавлено: 23.04.2026