CORS заголовки [Модуль 24: REST API]: Тренажер PHP

Тренажер по PHP для пользователей с начальным уровнем подготовки.

CORS (Cross-Origin Resource Sharing) — механизм, позволяющий браузеру делать запросы к другому домену. Для REST API на PHP нужно правильно настроить CORS-заголовки.

Основные заголовки:

Access-Control-Allow-Origin — разрешённые домены
Access-Control-Allow-Methods — разрешённые HTTP-методы
Access-Control-Allow-Headers — разрешённые заголовки запроса
Access-Control-Max-Age — время кэширования preflight

Браузер сначала отправляет preflight-запрос методом OPTIONS. Этот тренажер поможет на практике освоить настройку CORS в PHP. Интерактивные задания покажут, как правильно обрабатывать кросс-доменные запросы к вашему API.

Список тем

Модуль 1: Основы синтаксиса PHP
- Открывающие и закрывающие теги PHP.
- Комментарии в коде.
- Вывод данных с echo и print.
- Точка с запятой и синтаксические правила.
- Чувствительность к регистру.
- Встраивание PHP в HTML.
Модуль 2: Переменные и типы данных
- Объявление переменных.
- Правила именования переменных.
- Целые числа (integer).
- Числа с плавающей точкой (float).
- Строки (string).
- Булевы значения (boolean).
- NULL значения.
- Константы и define().
- Магические константы.
- Приведение типов.
- Проверка типов с gettype().
- Функции is_int(), is_string() и другие.
Модуль 3: Операторы
- Арифметические операторы.
- Операторы присваивания.
- Операторы сравнения.
- Логические операторы.
- Операторы инкремента и декремента.
- Конкатенация строк.
- Тернарный оператор.
- Оператор объединения с null (??).
- Spaceship оператор ().
- Побитовые операторы.
- Приоритет операторов.
Модуль 4: Условные конструкции
- Конструкция if.
- Конструкция if-else.
- Конструкция elseif.
- Вложенные условия.
- Конструкция switch-case.
- Break в switch.
- Default в switch.
- Альтернативный синтаксис if-endif.
- Match выражение (PHP 8).
- Комбинирование условий.
Модуль 5: Циклы
- Цикл for.
- Цикл while.
- Цикл do-while.
- Цикл foreach для массивов.
- Foreach с ключами и значениями.
- Break в циклах.
- Continue в циклах.
- Вложенные циклы.
- Бесконечные циклы.
- Альтернативный синтаксис циклов.
Модуль 6: Массивы
- Индексированные массивы.
- Ассоциативные массивы.
- Многомерные массивы.
- Добавление элементов в массив.
- Удаление элементов из массива.
- Функция count().
- Функция array_push() и array_pop().
- Функция array_shift() и array_unshift().
- Функция array_merge().
- Функция array_slice().
- Функция array_splice().
- Функция in_array().
- Функция array_search().
- Функция array_keys() и array_values().
- Функция array_unique().
- Функция array_reverse().
- Сортировка: sort(), rsort().
- Сортировка: asort(), arsort().
- Сортировка: ksort(), krsort().
- Функция array_map().
- Функция array_filter().
- Функция array_reduce().
- Функция array_walk().
- Функция array_column().
- Деструктуризация массивов.
Iterator интерфейс
Модуль 7: Функции
- Объявление функций.
- Вызов функций.
- Параметры функций.
- Возврат значений return.
- Значения параметров по умолчанию.
- Передача по значению.
- Передача по ссылке.
- Переменное количество аргументов.
- Оператор распаковки ....
- Типизация параметров.
- Типизация возвращаемых значений.
- Nullable типы.
- Union типы (PHP 8).
- Именованные аргументы (PHP 8).
- Анонимные функции.
- Стрелочные функции.
- Замыкания и use.
- Рекурсивные функции.
- Глобальные переменные в функциях.
- Статические переменные в функциях.
IteratorAggregate интерфейс
Модуль 8: Работа со строками
- Одинарные и двойные кавычки.
- Экранирование символов.
- Heredoc и Nowdoc синтаксис.
- Функция strlen().
- Функция substr().
- Функция str_replace().
- Функция strpos() и strrpos().
- Функция explode() и implode().
- Функция trim(), ltrim(), rtrim().
- Функция strtolower() и strtoupper().
- Функция ucfirst() и ucwords().
- Функция str_repeat().
- Функция htmlspecialchars().
Модуль 9: Суперглобальные переменные
- Переменная $_GET.
- Переменная $_POST.
- Переменная $_REQUEST.
- Переменная $_SESSION.
- Работа с query string.
- HTTP заголовки в $_SERVER.
Модуль 10: Работа с формами
- Обработка GET-запросов.
- Обработка POST-запросов.
- Валидация текстовых полей.
- Валидация email.
- Валидация чисел.
Модуль 11: Работа с файлами
Модуль 12: Дата и время
Модуль 13: Регулярные выражения
- Функция preg_match().
- Метасимволы.
- Группировка ().
Модуль 14: Сессии и Cookie
- Удаление cookie.
- Параметры cookie.
Модуль 15: Include и Require
- Пути к файлам.
Модуль 16: Объектно-ориентированное программирование
- Переопределение методов.
Модуль 17: Пространства имен
Модуль 18: Обработка ошибок и исключений
Модуль 19: Работа с JSON и XML
- Функция json_encode().
- DOMDocument класс.
Модуль 21: PDO - PHP Data Objects
- PDO атрибуты.
Модуль 22: Composer и зависимости
- Autoload секция.
Модуль 23: cURL и HTTP запросы
- POST запросы через cURL.
Модуль 24: REST API
- HTTP методы в REST.
- CORS заголовки.
- Документирование endpoints.
Модуль 25: Безопасность
Модуль 28: Работа с изображениями
- GD библиотека.
Модуль 29: Отправка email
- Вложения в письмах.
Модуль 30: Паттерны проектирования
- Singleton паттерн.
- Factory паттерн.
- Dependency Injection.
- MVC паттерн.
Модуль 31: Тестирование
- PHPUnit установка.
Модуль 32: Продвинутые возможности PHP 8+
- Union types.
- Named arguments.

1. Разрешить все домены

id: 39284_cors_01_replace

В этом задании вам необходимо правильно настроить CORS заголовок для REST API, чтобы разрешить доступ с любых доменов. В представленном фрагменте PHP-кода используется функция header() для отправки заголовков HTTP. Ваша задача — заполнить пропуск в аргументе функции так, чтобы сервер разрешал запросы с любого источника (origin). Это стандартная практика при разработке публичных API или на этапе тестирования, когда требуется временно разрешить доступ всем.

Заполните пропуски

<?php
// Настройка CORS заголовков для REST API
header('Content-Type: application/json');
header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE');
header('Access-Control-Allow-Headers: Content-Type, Authorization');
// Разрешить доступ с любого домена
header('Access-Control-Allow-Origin: input1S');

// Далее идёт код обработки запроса...
?>

Сообщения

Проверить

Показать решение на 3 сек.

Показать подсказку

2. CORS-заголовки и назначение

id: 39284_cors_02_compare

В данном задании вам необходимо сопоставить CORS-заголовки (левая колонка) с их назначением (правая колонка). Каждый заголовок из списка слева имеет строго определённое назначение, указанное справа. Обратите внимание, что количество элементов в обеих колонках одинаковое, и каждому заголовку соответствует только одно правильное описание его функциональности в контексте механизма Cross-Origin Resource Sharing.

Сопоставьте строки в правой(нижней) части с соответствующими строками в левой(верхней) по порядковому номеру

Access-Control-Allow-Origin

Access-Control-Allow-Methods

Access-Control-Allow-Headers

Access-Control-Max-Age

Разрешённые домены (источники запроса)

Время кэширования preflight-запроса (в секундах)

Разрешённые заголовки запроса (например, Content-Type, Authorization)

Разрешённые HTTP-методы (например, GET, POST, PUT)

Сообщения

Проверить

Показать подсказку

3. Ошибка в методах

id: 39284_cors_03_error

При работе с REST API важно правильно настраивать CORS заголовки для разрешения кросс-доменных запросов. В этом фрагменте PHP-кода допущена ошибка в указании разрешённых HTTP-методов в заголовке Access-Control-Allow-Methods. Неправильный формат может привести к тому, что браузеры не смогут корректно обработать предварительный запрос (preflight) OPTIONS. Найдите и исправьте строку с ошибкой.

Найдите ошибку и исправьте

<?php

header('Access-Control-Allow-Origin: *');

header('Access-Control-Allow-Methods: GET POST PUT');

header('Access-Control-Allow-Headers: Content-Type');

?>

Сообщения

Проверить

Показать решение на 3 сек.

Показать подсказку

4. Обработка preflight

id: 39284_cors_04_build

Из предложенных строк соберите корректный PHP-скрипт, который обрабатывает preflight (предварительный) запрос OPTIONS для реализации CORS. Скрипт должен проверить метод запроса и, если это OPTIONS, отправить три заголовка CORS (Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Max-Age) в любом порядке, затем завершить выполнение. Порядок отправки этих трёх заголовков не влияет на результат и все варианты должны считаться верными.

Перетяните в правильном порядке строки из одного блока в другой

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {

    header('Access-Control-Allow-Origin: *');

    header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE');

    header('Access-Control-Max-Age: 86400');

    exit;

if ($_SERVER['REQUEST_METHOD'] === 'POST') {

    header('Content-Type: application/json');

    echo json_encode(['error' => 'Method not allowed']);

    http_response_code(405);

    header('Access-Control-Allow-Headers: Content-Type');

Результат

if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    header('Access-Control-Allow-Origin: *');
    header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE');
    header('Access-Control-Max-Age: 86400');
    exit;
}

Сообщения

Проверить

Показать решение на 3 сек.

Показать подсказку

5. Пройдёт ли запрос?

id: 39284_cors_05_predict

Проанализируйте конфигурацию CORS заголовков сервера и определите, будет ли успешно выполнен указанный HTTP-запрос с учётом политики безопасности браузера. Обратите внимание на проверку домена источника запроса и разрешённых методов.

Выберите правильный вариант ответа

Сервер возвращает следующие HTTP-заголовки в ответ на предзапрос OPTIONS:

Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods: GET, POST

Будет ли браузер разрешать выполнение PUT-запроса, отправленного со страницы, загруженной с https://example.com?

Нет — запрос заблокирован браузером, так как домен источника не совпадает с указанным в Access-Control-Allow-Origin

Нет — запрос заблокирован браузером, так как метод PUT не указан в Access-Control-Allow-Methods

Да — запрос будет выполнен успешно

Сообщения

Проверить

Показать подсказку

6. Заголовки запроса и ответа

id: 39284_cors_06_sort

Перед вами список заголовков, используемых в контексте CORS (Cross-Origin Resource Sharing). Ваша задача — распределить эти заголовки по двум категориям: «Отправляет сервер» и «Отправляет браузер». CORS-заголовки делятся на те, которые сервер отправляет в ответе, разрешая определённые cross-origin-запросы, и те, которые браузер отправляет в предварительных (preflight) или обычных запросах, указывая детали запроса. Обратите внимание на семантику и назначение каждого заголовка.

Перетяните элементы в соответствующие блоки

Отправляет сервер

Отправляет браузер

Access-Control-Allow-Origin

Access-Control-Allow-Methods

Origin

Access-Control-Request-Method

Access-Control-Request-Headers

Результат

Вы правильно распределили заголовки. Сервер отправляет заголовки Access-Control-Allow-*, чтобы сообщить браузеру о разрешённых операциях. Браузер отправляет заголовки Origin, Access-Control-Request-Method и Access-Control-Request-Headers для описания cross-origin-запроса.

Сообщения

Проверить

Показать подсказку

7. Настройка кэширования

id: 39284_cors_07_bank

В этом задании вам нужно правильно настроить заголовок кэширования preflight-запросов для CORS на 1 час. В приведённом коде PHP есть пропуски, которые необходимо заполнить, выбрав подходящие части из банка вариантов. Соберите корректный заголовок Access-Control-Max-Age со значением 3600 секунд (1 час).

Нужно правильно расставить в пропуски предложенные варианты

header('Access-Control-input1S-input2S: 3600');

Max

Age

Allow

Cache

Time

Max

Age

Результат

header('Access-Control-Max-Age: 3600');

Сообщения

Проверить

Показать решение на 3 сек.

Показать подсказку

8. Порядок CORS-проверки

id: 39284_cors_08_sequencing

Перед вами описания этапов CORS-проверки при взаимодействии браузера с сервером в кросс-доменном запросе. Эти этапы перемешаны. Расставьте их в правильной логической последовательности, отражающей стандартный порядок обработки CORS (Cross-Origin Resource Sharing) для небезопасных HTTP-запросов (например, POST с определёнными типами контента). Важно понимать, что браузер выполняет предварительную проверку (preflight), чтобы убедиться, что сервер разрешает кросс-доменный запрос.

Расставьте строки в правильном порядке

Браузер отправляет предварительный (preflight) запрос типа OPTIONS на сервер для выяснения разрешённых методов и заголовков.

Сервер получает OPTIONS-запрос и отправляет ответ с CORS-заголовками (Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers).

Браузер отправляет основной запрос (например, POST с данными) на сервер, так как получил разрешение на preflight-этапе.

Браузер проверяет полученные CORS-заголовки в ответе на preflight-запрос. Если заголовки разрешают исходный запрос, браузер переходит к его отправке.

Сервер обрабатывает основной запрос (POST, PUT и т.д.) и возвращает окончательный ответ с данными, также включая CORS-заголовки (например, Access-Control-Allow-Origin) в этом ответе.

Результат

Правильная последовательность отражает механизм preflight, который браузер использует для безопасных кросс-доменных запросов. Для простых запросов (GET, POST с application/x-www-form-urlencoded, multipart/form-data, text/plain) preflight не выполняется. В данном примере рассматривается общий случай с предварительной проверкой.

Сообщения

Проверить

Показать подсказку

9. Найди небезопасную настройку

id: 39284_cors_09_click

Внимательно изучите фрагмент PHP-кода, который настраивает CORS-заголовки для REST API. Ваша задача — найти и выделить кликом те строки с вызовом функции header(), которые вместе образуют небезопасную конфигурацию CORS. Помните, что небезопасной считается комбинация, когда заголовок Access-Control-Allow-Origin установлен в значение "*" (звёздочка, разрешающая запросы с любого источника), одновременно с включённым заголовком Access-Control-Allow-Credentials: true (разрешение передавать учётные данные). Выделите только те строки, которые создают эту опасную пару, и не отмечайте другие, безопасные заголовки.

Кликните по всем фрагментам, которые подходят под условие задания.

<?php
// Фрагмент обработки CORS-запросов в REST API

// Безопасные заголовки по умолчанию
{{header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS');~|~t1}}
{{header('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');~|~t2}}
{{header('Access-Control-Max-Age: 3600');~|~t3}}

// Конфигурация для основного клиентского приложения
{{header('Access-Control-Allow-Origin: https://trusted-client.com');~|~t4}}
{{header('Access-Control-Allow-Credentials: true');~|~t5}}

// ОПАСНЫЙ БЛОК для временного тестирования (нельзя использовать в продакшене)
if (isset($_GET['debug_cors'])) {
    {{header('Access-Control-Allow-Origin: *');~|~t6}}
    {{header('Access-Control-Allow-Credentials: true');~|~t7}}
}

// Дополнительные заголовки ответа
header('Content-Type: application/json; charset=UTF-8');

// ... дальнейшая логика API
?>

Сообщения

Проверить

Показать подсказку

10. Метод preflight-запроса

id: 39284_cors_10_give

При реализации CORS (Cross-Origin Resource Sharing) браузер может автоматически отправлять предварительный (preflight) запрос для проверки разрешений, прежде чем выполнить основной запрос (например, POST с нестандартными заголовками). Этот предварительный запрос использует специальный HTTP-метод для опроса сервера о разрешенных методах и заголовках. Назовите этот HTTP-метод. Введите одно слово в поле ответа.

Что должно получиться?

Когда браузеру необходимо проверить, разрешён ли кросс-доменный запрос (например, запрос с нестандартными заголовками или методом, отличным от простых методов), он отправляет предварительный (preflight) запрос.

Этот запрос отправляется автоматически браузером, и его цель — получить от сервера список разрешённых методов, заголовков и других параметров CORS.

Вопрос: Какой HTTP-метод используется браузером для отправки preflight-запроса в рамках проверки CORS?

Введите название метода (одно слово) в поле ниже.

Сообщения

Проверить

Показать подсказку

CORS заголовки

1. Разрешить все домены

2. CORS-заголовки и назначение

3. Ошибка в методах

4. Обработка preflight

5. Пройдёт ли запрос?

6. Заголовки запроса и ответа

7. Настройка кэширования

8. Порядок CORS-проверки

9. Найди небезопасную настройку

10. Метод preflight-запроса

PHP: запуск кода в браузере