Wednesday

18-06-2025 Vol 19

🚧 Understanding CORS: Cross-Origin Resource Sharing for Web Developers

Tech News May 20, 2025

🚧 Memahami CORS: Cross-Origin Resource Sharing untuk Pengembang Web

CORS (Cross-Origin Resource Sharing) adalah mekanisme keamanan browser yang membatasi halaman web untuk membuat permintaan lintas asal (cross-origin) ke domain yang berbeda dari domain yang menerbitkan sumber daya web. CORS menjadi sangat penting karena mencegah serangan berbahaya dan memastikan keamanan data pengguna. Bagi pengembang web, memahami CORS adalah hal yang esensial untuk membangun aplikasi web modern yang aman dan berfungsi dengan baik. Artikel ini akan membahas CORS secara mendalam, meliputi konsep dasar, cara kerja, konfigurasi, dan solusi untuk masalah umum yang sering dihadapi.

Mengapa CORS Itu Penting?

Tanpa CORS, situs web jahat dapat membuat permintaan ke API atau sumber daya sensitif di domain lain, yang berpotensi membahayakan data pengguna. CORS bertindak sebagai lapisan pertahanan yang memverifikasi apakah permintaan lintas asal diizinkan atau tidak. Ini memastikan bahwa hanya domain yang terpercaya yang dapat mengakses sumber daya yang dilindungi.

Kerangka Artikel

  1. Pendahuluan
    • Apa itu CORS?
    • Mengapa CORS penting?
  2. Konsep Dasar CORS
    • Origin (Asal)
    • Permintaan Lintas Asal (Cross-Origin Request)
    • Kebijakan Same-Origin (Same-Origin Policy)
  3. Cara Kerja CORS
    • Alur Permintaan Sederhana (Simple Request)
    • Alur Permintaan Preflight (Preflight Request)
    • Header HTTP Terkait CORS
  4. Konfigurasi CORS di Server
    • Mengatur Header Access-Control-Allow-Origin
    • Mengatur Header Access-Control-Allow-Methods
    • Mengatur Header Access-Control-Allow-Headers
    • Mengatur Header Access-Control-Allow-Credentials
    • Contoh Konfigurasi CORS pada Berbagai Bahasa Pemrograman dan Framework (Node.js, Python, PHP, Java, dll.)
  5. Masalah Umum dan Solusi CORS
    • Error “No ‘Access-Control-Allow-Origin’ header is present on the requested resource”
    • Error “CORS preflight channel did not succeed”
    • Menggunakan Proxy untuk Menghindari CORS
    • CORS dan Permintaan dengan Credentials (Cookie, Authorization Header)
  6. Praktik Terbaik CORS
    • Prinsip Least Privilege
    • Validasi Asal Permintaan
    • Mengamankan API dari Serangan CSRF
  7. CORS dan Keamanan
    • Potensi Risiko Keamanan CORS
    • Cara Mengamankan Konfigurasi CORS
  8. Kesimpulan
    • Ringkasan Pentingnya CORS
    • Sumber Daya Tambahan untuk Mempelajari CORS Lebih Lanjut

1. Pendahuluan

Apa itu CORS?

CORS, singkatan dari Cross-Origin Resource Sharing, adalah mekanisme keamanan browser yang mengendalikan akses ke sumber daya yang berada di domain yang berbeda dari domain tempat kode web dieksekusi. Secara sederhana, CORS adalah sebuah kebijakan yang menentukan apakah browser web mengizinkan kode JavaScript yang berjalan di suatu halaman web untuk membuat permintaan ke domain lain. Kebijakan ini dirancang untuk melindungi pengguna dari serangan lintas situs (cross-site attacks) seperti Cross-Site Scripting (XSS) dan Cross-Site Request Forgery (CSRF).

Mengapa CORS Penting?

CORS penting karena beberapa alasan:

  • Keamanan: CORS melindungi pengguna dari potensi serangan berbahaya dengan membatasi akses ke sumber daya lintas asal.
  • Integritas Data: CORS membantu memastikan bahwa data yang diakses oleh aplikasi web hanya berasal dari sumber yang terpercaya.
  • Kompatibilitas Web: CORS memungkinkan pengembang web untuk membangun aplikasi yang berinteraksi dengan API dan sumber daya dari berbagai domain secara aman dan terkontrol.
  • Pencegahan CSRF: CORS membantu mencegah serangan CSRF dengan memverifikasi asal permintaan dan memastikan bahwa hanya permintaan yang sah yang diproses.

2. Konsep Dasar CORS

Origin (Asal)

Origin atau asal adalah kombinasi dari protokol (misalnya, http atau https), nama domain (misalnya, example.com), dan nomor port (misalnya, 80 atau 443). Dua URL dianggap memiliki same origin atau asal yang sama jika protokol, domain, dan port-nya sama. Contoh:

  • http://example.com dan http://example.com: Same Origin
  • http://example.com dan https://example.com: Different Origin (protokol berbeda)
  • http://example.com dan http://www.example.com: Different Origin (domain berbeda)
  • http://example.com dan http://example.com:8080: Different Origin (port berbeda)

Konsep origin ini sangat penting dalam memahami bagaimana CORS bekerja.

Permintaan Lintas Asal (Cross-Origin Request)

Cross-origin request atau permintaan lintas asal adalah permintaan HTTP yang dibuat oleh skrip yang berjalan di satu origin ke sumber daya yang berada di origin yang berbeda. Browser web secara default membatasi permintaan lintas asal untuk alasan keamanan. CORS memungkinkan server untuk mengontrol akses ke sumber daya mereka oleh origin yang berbeda.

Contoh: Jika sebuah halaman web yang dimuat dari http://example.com mencoba membuat permintaan ke API yang berada di https://api.example.com, ini adalah permintaan lintas asal.

Kebijakan Same-Origin (Same-Origin Policy)

Same-origin policy atau kebijakan asal yang sama adalah mekanisme keamanan browser yang membatasi skrip yang berjalan di satu origin untuk mengakses sumber daya dari origin yang berbeda. Kebijakan ini dirancang untuk mencegah dokumen berbahaya dari satu origin mengakses data sensitif dari origin lain.

CORS adalah sebuah mekanisme yang memungkinkan server untuk melonggarkan kebijakan asal yang sama secara aman. Dengan mengkonfigurasi header CORS yang tepat, server dapat mengizinkan origin tertentu untuk mengakses sumber daya mereka.

3. Cara Kerja CORS

CORS bekerja dengan menggunakan header HTTP untuk mengkomunikasikan informasi antara browser dan server. Ketika browser membuat permintaan lintas asal, browser memeriksa header CORS dalam respons server untuk menentukan apakah permintaan tersebut diizinkan. Terdapat dua jenis utama permintaan CORS: permintaan sederhana (simple request) dan permintaan preflight (preflight request).

Alur Permintaan Sederhana (Simple Request)

Permintaan sederhana adalah permintaan yang memenuhi semua kriteria berikut:

  • Metode permintaannya adalah GET, HEAD, atau POST.
  • Header HTTP-nya hanya berisi header standar yang diizinkan oleh CORS, seperti Accept, Accept-Language, Content-Language, dan Content-Type.
  • Jika metode permintaannya adalah POST, tipe Content-Type-nya harus salah satu dari berikut:
    • application/x-www-form-urlencoded
    • multipart/form-data
    • text/plain

Alur permintaan sederhana adalah sebagai berikut:

  1. Browser membuat permintaan lintas asal ke server.
  2. Server memproses permintaan dan menyertakan header Access-Control-Allow-Origin dalam responsnya. Header ini menunjukkan origin mana yang diizinkan untuk mengakses sumber daya. Jika nilai header ini sesuai dengan origin permintaan, atau jika nilainya adalah * (yang berarti semua origin diizinkan), browser akan mengizinkan JavaScript untuk mengakses responsnya. Jika tidak, browser akan memblokir akses ke respons dan menghasilkan error CORS.

Contoh permintaan sederhana:


GET /resource HTTP/1.1
Origin: http://example.com

Contoh respons sederhana yang mengizinkan semua origin:


HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Content-Type: application/json

Alur Permintaan Preflight (Preflight Request)

Permintaan preflight adalah permintaan OPTIONS yang dikirimkan oleh browser sebelum membuat permintaan lintas asal yang “kompleks”. Permintaan preflight digunakan untuk memverifikasi apakah server mengizinkan permintaan yang sebenarnya.

Permintaan dianggap “kompleks” jika tidak memenuhi kriteria untuk permintaan sederhana. Misalnya, permintaan yang menggunakan metode selain GET, HEAD, atau POST, atau yang menyertakan header HTTP kustom, dianggap sebagai permintaan kompleks.

Alur permintaan preflight adalah sebagai berikut:

  1. Browser mengirimkan permintaan OPTIONS ke server. Permintaan ini menyertakan header Origin, Access-Control-Request-Method (yang menunjukkan metode permintaan yang akan digunakan), dan Access-Control-Request-Headers (yang menunjukkan header yang akan disertakan dalam permintaan yang sebenarnya).
  2. Server memproses permintaan OPTIONS dan menyertakan header CORS yang relevan dalam responsnya, seperti Access-Control-Allow-Origin, Access-Control-Allow-Methods, dan Access-Control-Allow-Headers.
  3. Jika respons server menunjukkan bahwa permintaan yang sebenarnya diizinkan, browser akan membuat permintaan lintas asal yang sebenarnya. Jika tidak, browser akan memblokir permintaan tersebut.

Contoh permintaan preflight:


OPTIONS /resource HTTP/1.1
Origin: http://example.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header

Contoh respons preflight yang mengizinkan permintaan:


HTTP/1.1 204 No Content
Access-Control-Allow-Origin: http://example.com
Access-Control-Allow-Methods: PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Max-Age: 3600

Header Access-Control-Max-Age menentukan berapa lama (dalam detik) browser dapat menyimpan respons preflight. Ini dapat mengurangi jumlah permintaan preflight yang perlu dikirimkan.

Header HTTP Terkait CORS

Berikut adalah beberapa header HTTP utama yang terkait dengan CORS:

  • Access-Control-Allow-Origin: Header ini menentukan origin mana yang diizinkan untuk mengakses sumber daya. Nilainya dapat berupa origin tertentu (misalnya, http://example.com), * (yang berarti semua origin diizinkan), atau null (yang biasanya digunakan untuk permintaan yang diautentikasi).
  • Access-Control-Allow-Methods: Header ini menentukan metode HTTP mana yang diizinkan untuk permintaan lintas asal (misalnya, GET, POST, PUT, DELETE).
  • Access-Control-Allow-Headers: Header ini menentukan header HTTP mana yang diizinkan untuk disertakan dalam permintaan lintas asal.
  • Access-Control-Allow-Credentials: Header ini menentukan apakah permintaan dapat menyertakan credentials (misalnya, cookie atau header otorisasi). Nilainya dapat berupa true atau false. Jika header ini diatur ke true, header Access-Control-Allow-Origin tidak boleh diatur ke *.
  • Access-Control-Expose-Headers: Header ini menentukan header respons mana yang dapat diakses oleh JavaScript. Secara default, hanya beberapa header respons standar yang dapat diakses.
  • Access-Control-Max-Age: Header ini menentukan berapa lama (dalam detik) browser dapat menyimpan respons preflight.
  • Origin: Header permintaan yang menunjukkan origin dari permintaan.
  • Access-Control-Request-Method: Header permintaan preflight yang menunjukkan metode HTTP yang akan digunakan dalam permintaan yang sebenarnya.
  • Access-Control-Request-Headers: Header permintaan preflight yang menunjukkan header HTTP yang akan disertakan dalam permintaan yang sebenarnya.

4. Konfigurasi CORS di Server

Untuk mengaktifkan CORS, Anda perlu mengkonfigurasi server Anda untuk menyertakan header CORS yang sesuai dalam respons HTTP. Cara mengkonfigurasi CORS tergantung pada bahasa pemrograman dan framework yang Anda gunakan.

Mengatur Header Access-Control-Allow-Origin

Header Access-Control-Allow-Origin adalah header CORS yang paling penting. Header ini menentukan origin mana yang diizinkan untuk mengakses sumber daya Anda. Anda dapat mengatur header ini ke origin tertentu, *, atau null.

  • Origin Tertentu: Jika Anda hanya ingin mengizinkan satu origin untuk mengakses sumber daya Anda, Anda dapat mengatur header Access-Control-Allow-Origin ke origin tersebut. Contoh: Access-Control-Allow-Origin: http://example.com
  • *: Jika Anda ingin mengizinkan semua origin untuk mengakses sumber daya Anda, Anda dapat mengatur header Access-Control-Allow-Origin ke *. Namun, perlu diingat bahwa ini dapat mengurangi keamanan aplikasi Anda. Sebaiknya hindari penggunaan * jika Anda menangani data sensitif. Contoh: Access-Control-Allow-Origin: *
  • null: Anda dapat mengatur header Access-Control-Allow-Origin ke null untuk permintaan yang diautentikasi. Ini biasanya digunakan ketika Anda ingin mengizinkan permintaan dari origin yang sama tetapi melarang permintaan dari origin yang berbeda.

Mengatur Header Access-Control-Allow-Methods

Header Access-Control-Allow-Methods menentukan metode HTTP mana yang diizinkan untuk permintaan lintas asal. Anda dapat menentukan beberapa metode dengan memisahkannya dengan koma. Contoh: Access-Control-Allow-Methods: GET, POST, PUT, DELETE

Mengatur Header Access-Control-Allow-Headers

Header Access-Control-Allow-Headers menentukan header HTTP mana yang diizinkan untuk disertakan dalam permintaan lintas asal. Anda dapat menentukan beberapa header dengan memisahkannya dengan koma. Contoh: Access-Control-Allow-Headers: Content-Type, Authorization, X-Custom-Header

Mengatur Header Access-Control-Allow-Credentials

Header Access-Control-Allow-Credentials menentukan apakah permintaan dapat menyertakan credentials (misalnya, cookie atau header otorisasi). Nilainya dapat berupa true atau false. Jika Anda mengatur header ini ke true, Anda juga harus mengatur header Access-Control-Allow-Origin ke origin tertentu (bukan *). Contoh: Access-Control-Allow-Credentials: true

Contoh Konfigurasi CORS pada Berbagai Bahasa Pemrograman dan Framework

Berikut adalah beberapa contoh konfigurasi CORS pada berbagai bahasa pemrograman dan framework:

Node.js (Express)


const express = require('express');
const cors = require('cors');

const app = express();

// Mengizinkan semua origin
app.use(cors());

// Mengizinkan origin tertentu
// app.use(cors({ origin: 'http://example.com' }));

app.get('/api/resource', (req, res) => {
  res.json({ message: 'Hello, CORS!' });
});

app.listen(3000, () => {
  console.log('Server listening on port 3000');
});

Python (Flask)


from flask import Flask
from flask_cors import CORS

app = Flask(__name__)
CORS(app)

@app.route('/api/resource')
def resource():
    return {'message': 'Hello, CORS!'}

if __name__ == '__main__':
    app.run(debug=True)

PHP


<?php
header("Access-Control-Allow-Origin: *");
header("Content-Type: application/json");

$data = array("message" => "Hello, CORS!");
echo json_encode($data);
?>

Java (Spring Boot)


import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("http://example.com")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("Content-Type", "Authorization");
    }
}

5. Masalah Umum dan Solusi CORS

Meskipun CORS dirancang untuk meningkatkan keamanan web, CORS juga dapat menyebabkan masalah jika tidak dikonfigurasi dengan benar. Berikut adalah beberapa masalah umum yang sering dihadapi pengembang web dan solusinya:

Error “No ‘Access-Control-Allow-Origin’ header is present on the requested resource”

Error ini terjadi ketika browser menerima respons dari server tanpa header Access-Control-Allow-Origin yang sesuai. Ini berarti bahwa server tidak mengizinkan origin permintaan untuk mengakses sumber daya.

Solusi:

  • Pastikan bahwa server Anda mengembalikan header Access-Control-Allow-Origin yang sesuai dalam responsnya.
  • Periksa konfigurasi CORS Anda untuk memastikan bahwa origin permintaan diizinkan.
  • Jika Anda menggunakan middleware CORS, pastikan middleware tersebut dikonfigurasi dengan benar.

Error “CORS preflight channel did not succeed”

Error ini terjadi ketika permintaan preflight gagal. Ini berarti bahwa server tidak mengizinkan permintaan yang sebenarnya.

Solusi:

  • Pastikan bahwa server Anda mengembalikan header Access-Control-Allow-Methods dan Access-Control-Allow-Headers yang sesuai dalam respons preflight.
  • Periksa konfigurasi CORS Anda untuk memastikan bahwa metode HTTP dan header yang digunakan dalam permintaan yang sebenarnya diizinkan.
  • Pastikan bahwa permintaan preflight dikirimkan dengan metode OPTIONS.

Menggunakan Proxy untuk Menghindari CORS

Salah satu cara untuk menghindari CORS adalah dengan menggunakan proxy. Proxy adalah server yang bertindak sebagai perantara antara browser dan server target. Browser membuat permintaan ke proxy, dan proxy membuat permintaan ke server target. Karena permintaan dibuat dari origin yang sama (origin proxy), CORS tidak akan menjadi masalah.

Solusi:

  • Konfigurasi proxy di server Anda.
  • Pastikan bahwa proxy meneruskan header yang relevan ke server target.

CORS dan Permintaan dengan Credentials (Cookie, Authorization Header)

Jika Anda ingin mengirimkan cookie atau header otorisasi dalam permintaan lintas asal, Anda harus mengatur header Access-Control-Allow-Credentials ke true. Anda juga harus mengatur header Access-Control-Allow-Origin ke origin tertentu (bukan *).

Solusi:

  • Atur header Access-Control-Allow-Credentials ke true di server Anda.
  • Atur header Access-Control-Allow-Origin ke origin tertentu di server Anda.
  • Atur properti withCredentials ke true di objek XMLHttpRequest atau dalam konfigurasi fetch Anda.

6. Praktik Terbaik CORS

Berikut adalah beberapa praktik terbaik untuk mengkonfigurasi CORS:

Prinsip Least Privilege

Berikan hanya izin yang diperlukan. Jangan mengizinkan semua origin atau semua metode HTTP kecuali benar-benar diperlukan.

Validasi Asal Permintaan

Validasi asal permintaan di server Anda untuk memastikan bahwa hanya origin yang terpercaya yang dapat mengakses sumber daya Anda.

Mengamankan API dari Serangan CSRF

CORS tidak sepenuhnya melindungi dari serangan CSRF. Pastikan bahwa API Anda juga dilindungi dari serangan CSRF dengan menggunakan token CSRF atau mekanisme perlindungan lainnya.

7. CORS dan Keamanan

Meskipun CORS dirancang untuk meningkatkan keamanan web, CORS juga dapat menjadi sumber kerentanan jika tidak dikonfigurasi dengan benar.

Potensi Risiko Keamanan CORS

  • Konfigurasi yang Salah: Konfigurasi CORS yang salah dapat membuka celah keamanan yang dapat dieksploitasi oleh penyerang.
  • Penggunaan Access-Control-Allow-Origin: *: Penggunaan Access-Control-Allow-Origin: * dapat memungkinkan semua origin untuk mengakses sumber daya Anda, yang dapat berbahaya jika Anda menangani data sensitif.
  • Serangan CSRF: CORS tidak sepenuhnya melindungi dari serangan CSRF.

Cara Mengamankan Konfigurasi CORS

  • Hindari Penggunaan Access-Control-Allow-Origin: *: Gunakan origin tertentu sebagai gantinya.
  • Validasi Asal Permintaan: Validasi asal permintaan di server Anda.
  • Gunakan Token CSRF: Lindungi API Anda dari serangan CSRF dengan menggunakan token CSRF.
  • Tinjau Konfigurasi CORS Secara Teratur: Tinjau konfigurasi CORS Anda secara teratur untuk memastikan bahwa konfigurasi tersebut aman dan up-to-date.

8. Kesimpulan

CORS adalah mekanisme keamanan yang penting untuk aplikasi web modern. Dengan memahami cara kerja CORS dan cara mengkonfigurasinya dengan benar, Anda dapat melindungi pengguna Anda dari serangan berbahaya dan memastikan bahwa aplikasi web Anda berfungsi dengan baik.

Ringkasan Pentingnya CORS

  • CORS melindungi pengguna dari serangan lintas situs.
  • CORS memungkinkan pengembang web untuk membangun aplikasi yang berinteraksi dengan API dan sumber daya dari berbagai domain secara aman.
  • Konfigurasi CORS yang benar sangat penting untuk keamanan aplikasi web.

Sumber Daya Tambahan untuk Mempelajari CORS Lebih Lanjut

“`

omcoding

Related Posts
May 27, 2025 Tech News by omcoding

Use Local LLM with Cursor

Mengoptimalkan Pengembangan: Menggunakan LLM Lokal dengan Cursor untuk Produktivitas Maksimum Pendahuluan: Revolusi Pengembangan dengan LLM Lokal dan Cursor Di era…
May 22, 2025 Tech News by omcoding

Top 5 Free Figma Plugins & Libraries for Illustrations in 2025

Top 5 Plugin & Library Figma Gratis Terbaik untuk Ilustrasi di Tahun 2025 Dunia desain terus berkembang, dan Figma tetap…
May 26, 2025 Tech News by omcoding

AuraFeed – Real-time AI News Sentiment Analyzer

AuraFeed: Analisis Sentimen Berita AI Real-Time untuk Pengambilan Keputusan Cerdas Di era informasi yang bergerak cepat saat ini, tetap terinformasi…
May 22, 2025 Tech News by omcoding

Jadwal MPL ID S15 Week 9: Team Liquid ID Vs RRQ Hoshi

MPL ID S15 Week 9: Pertarungan Sengit Team Liquid ID vs. RRQ Hoshi – Analisis Mendalam dan Jadwal Lengkap Minggu…
May 21, 2025 Tech News by omcoding

Interface Segregation Principle: Why Less Is More When It Comes to Interfaces

Interface Segregation Principle: Why Less Is More When It Comes to Interfaces In the world of software design, creating robust,…
May 20, 2025 Tech News by omcoding

Ever wanted a clean way to adjust your external monitor’s brightness and contrast from the command line? Let’s build a simple yet beautiful Python CLI tool named monitor using the power of ddcutil and rich! #No_More_Monitor_Buttons

Ucapkan Selamat Tinggal Tombol Monitor: Bangun CLI Python yang Elegan untuk Kontrol Kecerahan dan Kontras Apakah Anda pernah berharap ada…
May 26, 2025 Tech News by omcoding

9 Modern Developer Tools to Improve Your Coding Workflow 👨‍💻⚡

9 Alat Pengembang Modern untuk Meningkatkan Alur Kerja Coding Anda 👨‍💻⚡ Sebagai pengembang, kita selalu mencari cara untuk meningkatkan produktivitas,…
May 24, 2025 Tech News by omcoding

iPad Air M3 2025: Spesifikasi dan Harga di Indonesia

iPad Air M3 2025: Spesifikasi, Harga, dan Prediksi di Indonesia Apple terus berinovasi dan memimpin pasar tablet dengan produk-produk berkualitas…
May 27, 2025 Tech News by omcoding

Step-by-Step: Generate SSH Key Pair for CI/CD

Step-by-Step: Generate SSH Key Pair for CI/CD (A Comprehensive Guide) Continuous Integration and Continuous Delivery (CI/CD) pipelines are essential for…
May 27, 2025 Tech News by omcoding

Microsoft Resmikan Data Center Pertama, Janji Bekali 1 Juta Talenta AI

Microsoft Resmikan Data Center Pertama di Indonesia, Target Lahirkan 1 Juta Talenta AI Indonesia memasuki era baru dalam transformasi digital…

Leave a Reply

Your email address will not be published. Required fields are marked *