CORS

Cross-Origin Resource Sharing · Cross-Origin Resource Sharing · политика одного источника · CORS-заголовки

Определение

CORS — браузерный механизм безопасности, ограничивающий cross-origin запросы; API персонализации должен явно разрешать запросы с доменов клиента через заголовок Access-Control-Allow-Origin.

Same-Origin Policy и зачем нужен CORS

Браузер реализует Same-Origin Policy (SOP): JavaScript-код, загруженный с домена shop.ru, не может по умолчанию читать ответы от api.personalization.com. Это защита от атак, при которых вредоносный сайт мог бы читать данные с других сайтов от имени авторизованного пользователя.

CORS — механизм, позволяющий серверу явно разрешить запросы с определённых доменов, исключив их из действия SOP.

Как работает CORS

Простой запрос (GET без кастомных заголовков):
1. Браузер отправляет запрос с заголовком Origin: https://shop.ru.
2. Сервер проверяет: разрешён ли этот origin?
3. Если да — возвращает Access-Control-Allow-Origin: https://shop.ru.
4. Браузер пропускает ответ в JS.

Preflight для сложных запросов:

OPTIONS /api/recommendations HTTP/1.1
Origin: https://shop.ru
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type, X-API-Key

Сервер должен ответить:

Access-Control-Allow-Origin: https://shop.ru
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: Content-Type, X-API-Key
Access-Control-Max-Age: 86400

CORS при интеграции платформы персонализации

При подключении JavaScript-виджета рекомендаций браузер делает запрос к API персонализации с другого домена. Если сервер не вернул нужные CORS-заголовки:

Браузер блокирует ответ (не запрос — сервер его получает)
В консоли появляется ошибка CORS policy: No 'Access-Control-Allow-Origin' header
Рекомендации не отображаются, хотя на сервере всё работает

Важно: CORS-ошибка видна только в браузере. Если тестировать API через curl или Postman — всё работает, потому что эти инструменты не реализуют SOP. Проверяйте интеграцию в реальном браузере с включёнными DevTools.

Распространённые ошибки настройки

Ошибка	Симптом	Решение
Нет CORS-заголовка	Рекомендации не грузятся	Добавить `Access-Control-Allow-Origin`
Wildcard (*) + credentials	Запрос с cookie блокируется	Указать конкретный origin + `Allow-Credentials: true`
Нет обработки OPTIONS	Preflight возвращает 404	Добавить обработчик OPTIONS в роутер
Неправильный домен	CORS ошибка на поддомене	Разрешить `*.shop.ru` или каждый поддомен отдельно

Частые вопросы

Почему рекомендации не отображаются, хотя API отвечает?

Распространённая причина — CORS. Откройте DevTools → вкладку Network, найдите запрос к API персонализации и проверьте заголовки ответа. Если нет Access-Control-Allow-Origin, браузер блокирует ответ на стороне клиента — сервер вернул данные, но JS их не получил.

Что такое preflight-запрос?

Перед «сложными» запросами (с нестандартными заголовками, методами PUT/DELETE или Content-Type: application/json) браузер автоматически отправляет OPTIONS-запрос — спрашивает сервер, разрешён ли этот тип запроса с данного origin. Если сервер не отвечает корректно на OPTIONS, основной запрос не будет отправлен.

Опасно ли использовать Access-Control-Allow-Origin: *?

Для публичного API без аутентификации — допустимо. Для API, который работает с Cookie или Authorization-заголовками, использование wildcard (* ) небезопасно и технически невозможно: нельзя одновременно разрешить credentials и ставить *. Нужно явно указывать разрешённые origin.

Gravity Field

Персонализация для e-commerce — на одной платформе

Gravity Field помогает онлайн-ритейлерам растить конверсию, средний чек и удержание за счёт персонализации на всех этапах пути покупателя — без перегрузки IT.

✦Товарные рекомендации и merchandising-правила

✦A/B-тесты с байесовской статистикой и автопилотом (MAB)

✦Персонализация контента, PLP и сегментация аудитории

✦AI Shopping Assistant с доказанным ростом выручки на визит

Запросить демо →