অ্যাক্সেস-নিয়ন্ত্রণ-অনুমতি-শংসাপত্রের শিরোনামটি ঠিক কী করে?

আমি কীভাবে সিওআরএস ব্যবহার করব তা বোঝার চেষ্টা করছি এবং Access-Control-Allow-Credentialsশিরোনাম কী করবে তা নিয়ে বিভ্রান্ত ।

ডকুমেন্টেশন বলে

শংসাপত্রের পতাকাটি সত্য হলে অনুরোধের প্রতিক্রিয়াটি প্রকাশিত হতে পারে কি না তা নির্দেশ করে।

তবে প্রতিক্রিয়াটি "উন্মুক্ত" হওয়ার অর্থ কী তা আমি বুঝতে পারি না।

এই শিরোনামটি সত্য হিসাবে সেট করা হচ্ছে (শংসাপত্রের পতাকাটি সত্য হিসাবে সেট করা হচ্ছে এর সাথে মিলিত) আসলে কী করে তা কি কেউ ব্যাখ্যা করতে পারেন?

ডিফল্টরূপে, সিওআরএস ক্রস-আর্জি অনুরোধগুলিতে কুকিজ অন্তর্ভুক্ত করে না। এটি অন্যান্য ক্রস-উত্স কৌশলগুলি যেমন জেএসওএন-পি থেকে পৃথক। জেএসএন-পি সর্বদা অনুরোধ সহ কুকিজ অন্তর্ভুক্ত করে এবং এই আচরণের ফলে ক্রস-সাইট অনুরোধ জালিয়াতি বা সিএসআরএফ নামে এক ধরণের দুর্বলতা দেখা দিতে পারে ।

সিওআরএসে সিএসআরএফ দুর্বলতার সম্ভাবনা হ্রাস করার জন্য, সিওআরএসকে অনুরোধে কুকিজ অন্তর্ভুক্ত করা ঠিক আছে কিনা তা স্বীকার করার জন্য সার্ভার এবং ক্লায়েন্ট উভয়েরই প্রয়োজন। এটি করা কুকিজকে একটি সক্রিয় সিদ্ধান্তে পরিণত করে, যা কোনও নিয়ন্ত্রণ ছাড়াই প্যাসিভভাবে ঘটে।

ক্লায়েন্ট কোড অবশ্যইwithCredentials সম্পত্তি সেট XMLHttpRequestকরতে হবেtrue অর্ডার অনুমতি দিতে হবে।

তবে এই শিরোলেখ একাই যথেষ্ট নয়। সার্ভার অবশ্যইAccess-Control-Allow-Credentials শিরোনাম দিয়ে প্রতিক্রিয়া জানাতে হবে । এই শিরোনাম দিয়ে প্রতিক্রিয়াtrue মানে সার্ভারটি কুকিজ (বা অন্যান্য ব্যবহারকারীর শংসাপত্রগুলি) ক্রস-উত্স অনুরোধগুলিতে অন্তর্ভুক্ত করার অনুমতি দেয়।

আপনার যদি ক্রস-অরিজিনাল শংসাপত্রযুক্ত অনুরোধগুলি কাজ করতে চান তবে আপনার ব্রাউজারটি তৃতীয় পক্ষের কুকিজগুলি ব্লক করছে না তাও নিশ্চিত করতে হবে ।

আপনি একই-উত্স বা ক্রস-অরিজিন অনুরোধগুলি করছেন তা নির্বিশেষে নোট করুন, আপনার সাইটটি সিএসআরএফ থেকে রক্ষা করা দরকার (বিশেষত যদি আপনার অনুরোধে কুকিজ অন্তর্ভুক্ত থাকে)।