CORS là gì và tại sao nó quan trọng?

CORS (Cross-Origin Resource Sharing) là một cơ chế bảo mật của trình duyệt web cho phép các trang web từ một domain truy cập tài nguyên từ domain khác một cách an toàn. Nó rất quan trọng vì ngăn chặn các cuộc tấn công cross-site request forgery (CSRF) và bảo vệ dữ liệu người dùng khỏi bị truy cập trái phép từ các trang web độc hại.

Tôi nên set Access-Control-Allow-Origin thành * hay cụ thể domain?

Bạn nên set thành domain cụ thể (ví dụ: https://yourdomain.com) thay vì * để tăng cường bảo mật. Sử dụng * chỉ nên dùng cho các API công khai không yêu cầu xác thực. Nếu API của bạn xử lý dữ liệu nhạy cảm hoặc yêu cầu credentials, luôn liệt kê các origin được phép một cách rõ ràng.

Làm thế nào để fix lỗi CORS blocked by browser?

Lỗi này xảy ra khi server không gửi đúng CORS headers. Để fix: 1) Kiểm tra cấu hình CORS trên server của bạn, 2) Thêm Access-Control-Allow-Origin header với domain của client, 3) Nếu dùng credentials, set Access-Control-Allow-Credentials thành true, 4) Liệt kê các methods và headers cần thiết trong Access-Control-Allow-Methods và Access-Control-Allow-Headers.

Preflight request là gì và khi nào nó được gửi?

Preflight request là một OPTIONS request mà trình duyệt tự động gửi trước request thực tế. Nó được gửi khi request là POST/PUT/DELETE, hoặc khi có custom headers hoặc Content-Type không phải application/x-www-form-urlencoded. Server phải phản hồi với các CORS headers phù hợp, nếu không request thực tế sẽ bị block.

Tại sao công cụ này báo CORS không hoạt động nhưng website vẫn chạy bình thường?

Điều này có thể xảy ra vì CORS chỉ được kiểm tra bởi trình duyệt web, không phải bởi các tool hay curl commands. Nếu bạn truy cập trực tiếp từ server hoặc dùng curl, CORS không ảnh hưởng. Tuy nhiên, nếu frontend của bạn gọi API từ domain khác, lỗi CORS sẽ xuất hiện trên trình duyệt của người dùng.

Kiểm tra CORS

Cách sử dụng Kiểm tra CORS

Khi nào cần dùng Kiểm tra CORS

Thông tin kỹ thuật

Câu hỏi thường gặp