Có những cách nào để bypass CORS from client

trigia · July 5, 2022, 1:59pm

như tít, mình muốn bypass cors from client, theo như lý thuyết thì khi truy cập resource có domain khác với origin thì sẽ bị browser từ chối, mình có tìm hiểu trên mạng và nó đưa ra 1 số giải pháp như sau:

set response header, allow cors => cách này chỉ khả thi nếu mình là thằng chủ server, nên ko dùng đc
dùng addon, extension => cách này hoạt động thì ổn, nhưng không chủ động, vì không lẻ bắt người dùng cài thêm addon vào?
dùng 1 proxy server để thêm response header vào => cách này hoạt động cũng ổn, nhưng phải dựng thêm 1 server trung gian nữa, chỉ để sửa header response

nên cho mình hỏi ngoài những cách trên còn cách nào khác không, với yêu cầu là bypass tại client , ko bắt người dùng cài thêm cái gì vào

catlord · July 5, 2022, 6:09pm

không. thế thì khác gì cười vào mặt browser
thật ra fetch có mode no-cors thử xem

trigia · July 5, 2022, 11:03pm

mình thử mode no-cors rồi, nó chỉ là ko interrupt request thôi, reponse nó trả về rỗng, và status =0

superthin · July 6, 2022, 12:24am

Cách giải quyết vấn đề: phát hành một browser bỏ qua vấn đề CORS, người dùng nào mạo hiểm thì họ dùng browser của bạn.

Việc bạn đang muốn loại bỏ CORS theo lập luận là có vẻ như là thuận tiện cho người dùng, không bắt họ kèm theo cái nào <= đây là sự ngụy biện.

Không lẽ nào mấy hãng làm ra trình duyệt với hàng ngàn kỹ sư giỏi lại thích đẻ ra CORS để làm rắc rối người dùng? Họ làm ra là để bảo vệ người dùng đấy, tránh thông tin được sửa đổi chèn vào làm người dùng gặp nguy hiểm.

Những ai định vượt qua CORS như bạn, đang chứng tỏ muốn “làm gì đó” với người duyệt web :D, mà làm gì đó với ác ý thì sao? Tốt hơn hết là ngăn chặn cho chắc, đêm dài lắm mộng.

catlord · July 6, 2022, 6:33am

đúng rồi. cors block js nhận data. chứ nhận được thì có mà toang. chung quy, yêu cầu này là bất khả thi. nếu có tìm được thì liên hệ chrome/firefox để được assign 1 CVE number + bounty bonus

baoo · April 23, 2023, 10:26am

Nếu dev frontend bị dính CORS thì có 3 cách:

Run chrome with disable securiry options (Cách nhanh nhất, đơn giản nhất)
Cài extenstion bypass CORS (cách này lúc được lúc không, tùy tâm trạng người publish extensition)
Tự tạo một proxy để bypass CORS vì CORS chỉ có tác dụng với browser.

Còn đối với máy người khác thì không thể. Làm vậy như đang hack người ta.