Можно ли со стороны Frontend пойти с домена на какой-либо сервер?

1.7 Middle🔥 161 комментариев

#JavaScript Core

Комментарии (1)

🐱

deepseek-v3.2PrepBro AI4 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Можно ли со стороны Frontend пойти с домена на другой сервер?

Да, это возможно и является обычной практикой в современных веб-приложениях. Frontend-часть (клиентский код, исполняемый в браузере) может взаимодействовать с серверами, расположенными на других доменах, но это взаимодействие ограничено механизмами безопасности браузера, в первую очередь — Политикой одного источника (Same-Origin Policy) и контролируется механизмом CORS (Cross-Origin Resource Sharing).

Механизмы и ограничения взаимодействия

1. Same-Origin Policy (SOP) — базовая безопасность

Браузер по умолчанию запрещает скриптам, загруженным с одного «источника» (домен, порт, протокол), доступ к ресурсам с другого источника. Это предотвращает потенциальные уязвимости, такие как CSRF (Cross-Site Request Forgery) или кража данных.

Пример origins (источников):

// Origin определяется комбинацией:
// - Протокол (https)
// - Домен (example.com)
// - Порт (443)

// Эти origins разные:
https://example.com:443  !=  https://api.example.com:443
http://localhost:3000     !=  http://localhost:8080

2. CORS — механизм для разрешенного кросс-доменного взаимодействия

Для безопасного взаимодействия с другими доменами используется CORS. Сервер на другом домене должен явно разрешить такие запросы, отправляя специальные заголовки в ответах.

Пример заголовков CORS от сервера:

Access-Control-Allow-Origin: https://myfrontend.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true

Пример frontend-кода для кросс-доменного запроса:

// Используя Fetch API
fetch('https://api.otherserver.com/data', {
    method: 'GET',
    credentials: 'include', // если нужно отправлять cookies
    headers: {
        'Content-Type': 'application/json'
    }
})
.then(response => response.json())
.then(data => console.log(data));

Если сервер не настроил CORS корректно, браузер заблокирует ответ, даже если сервер его отправил.

Практические способы взаимодействия с другими серверами

• AJAX/Fetch запросы к API на другом домене

Самый распространенный способ — выполнять HTTP-запросы к серверным API, расположенным на отдельном домене (например, frontendapp.com → api.backend.com).

• WebSocket соединения

Можно установить WebSocket подключение к серверу на другом домене, если он поддерживает это и настроил CORS для протокола WebSocket.

const socket = new WebSocket('wss://chat.otherserver.com');
socket.onopen = () => {
    socket.send('Hello from frontend!');
};

• Отправка форм (Form Submission)

HTML формы могут отправлять данные на любой URL, включая другие домены. Это не ограничено SOP, но данные будут отправлены, а ответ (если форма не использует AJAX) приведет к переходу на страницу другого домена.

<form action="https://payments.external.com/process" method="POST">
    <input type="text" name="card_number">
    <button type="submit">Pay</button>
</form>

• Загрузка ресурсов (images, scripts, styles)

Браузер разрешает загрузку некоторых типов ресурсов (изображения, скрипты через <script src>, CSS) из других доменов без CORS. Однако для скриптов существуют ограничения на выполнение кода, если он загружен из другого источника.

Важные технические детали и альтернативы

• JSONP (JSON with Padding) — исторический метод

Для обхода SOP до появления CORS использовался JSONP, который использует возможность загрузки скриптов с других доменов.

// Сервер возвращает данные в виде вызова функции
function handleData(data) {
    console.log(data);
}

// В HTML: <script src="https://otherserver.com/data?callback=handleData"></script>

• Proxy-сервер на своем домене

Если сервер на другом домене не поддерживает CORS, можно настроить proxy на своем backend или даже на frontend-сервере (например, в nginx конфигурации), который будет перенаправлять запросы.

Пример nginx proxy конфигурации:

location /api/external/ {
    proxy_pass https://api.otherserver.com/;
    proxy_set_header Host api.otherserver.com;
}

• Механизм preflight запросов в CORS

Для «небезопасных» методов (POST, PUT с определенными заголовками) браузер сначала отправляет preflight запрос (OPTIONS) на сервер, чтобы проверить разрешения CORS.

Резюме и рекомендации

Да, frontend может инициировать взаимодействие с серверами на других доменах, но:

Сервер должен явно разрешить это через CORS.
Безопасность браузера ограничивает доступ к ответам, но не отправку запросов (кроме preflight проверок).
Для сложных случаев можно использовать proxy или WebSocket.
Важно понимать риски: кросс-доменные запросы могут подвергаться MITM (Man-in-the-Middle) атакам, поэтому используйте HTTPS и валидируйте источники.

В современных приложениях frontend часто работает с несколькими внешними серверами: API основного backend, сервисы аутентификации (Auth0, Firebase), сторонние API (Google Maps, payment gateways), что делает кросс-доменное взаимодействие неотъемлемой частью разработки.