Node.js Proxy Server для обхода CORS: Решение проблем кросс-доменных запросов

Разработчики часто сталкиваются с ошибками CORS (Cross-Origin Resource Sharing) при работе с API и внешними ресурсами. В этом руководстве вы узнаете, как создать proxy-сервер на Node.js для безопасного обхода ограничений CORS. Мы разберем практические примеры, лучшие практики и альтернативные подходы.

Что такое CORS и почему он блокирует запросы?

CORS — механизм безопасности браузеров, предотвращающий межсайтовые атаки. Он блокирует запросы к доменам, отличным от источника текущей веб-страницы. Типичные сценарии возникновения ошибок:

Фронтенд на http://localhost:3000 запрашивает API на https://api.example.com
Веб-приложение пытается получить данные с CDN другого домена
Интеграция со сторонними сервисами без CORS-заголовков

Как прокси-сервер решает проблему CORS

Node.js proxy выступает посредником между клиентом и целевым сервером:

Клиент отправляет запрос вашему proxy-серверу (одного домена)
Proxy перенаправляет запрос к целевому API
Ответ API возвращается через proxy с корректными CORS-заголовками

Преимущества подхода:

Обход ограничений браузера
Контроль над заголовками ответов
Кэширование и логирование запросов
Защита API-ключей

Создаем простой CORS-прокси на Node.js

Для реализации используем Express и библиотеку http-proxy-middleware:

const express = require('express');
const { createProxyMiddleware } = require('http-proxy-middleware');

const app = express();
const PORT = 3001;

// Настройка CORS headers
app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS');
  next();
});

// Проксирование запросов
app.use('/api', createProxyMiddleware({
  target: 'https://target-api.com',
  changeOrigin: true,
  pathRewrite: { '^/api': '' },
}));

app.listen(PORT, () => {
  console.log(`CORS Proxy running on port ${PORT}`);
});

Как это работает:

Устанавливаем заголовки для разрешения кросс-доменных запросов
Перенаправляем пути /api на целевой сервер
Параметр changeOrigin подменяет заголовок Host
pathRewrite удаляет префикс /api из URL

Расширенные настройки прокси-сервера

Для production-среды добавьте:

Аутентификацию: Ограничение доступа через API-ключи
Кэширование: Уменьшение нагрузки на целевой сервер
Логирование: Мониторинг запросов с помощью Morgan
Ограничение запросов: Защита от DDoS через express-rate-limit

Альтернативы кастомному прокси-серверу

Другие методы решения CORS проблем:

Настройка CORS на сервере API (если доступен)
Использование облачных сервисов (Cloudflare Workers, AWS API Gateway)
Плагины для разработки (CORS Unblock, Moesif Origin & CORS Changer)

FAQ: Частые вопросы о CORS и прокси

Безопасно ли использовать прокси для обхода CORS?

Да, если реализованы меры защиты: аутентификация, HTTPS и валидация доменов. Не проксируйте конфиденциальные данные без шифрования.

Можно ли обойти CORS без прокси?

Только временные решения для разработки: отключение безопасности браузера (небезопасно) или использование CORS Anywhere. Для production всегда требуется настройка сервера.

Как обрабатывать OPTIONS-запросы в прокси?

Добавьте обработку preflight-запросов:

app.options('*', (req, res) => {
  res.header('Access-Control-Allow-Headers', 'Authorization, Content-Type');
  res.sendStatus(200);
});

Какие ограничения у Node.js прокси?

Основные: нагрузка на сервер, задержка ответа, сложность масштабирования. Для высоконагруженных систем используйте Nginx или облачные решения.

Как тестировать прокси-сервер?

Используйте инструменты:

Postman для проверки эндпоинтов
Jest для модульных тестов
Loader.io для нагрузочного тестирования

Заключение

Node.js proxy server — эффективное решение проблем CORS для веб-приложений. Реализация занимает менее 50 строк кода, но требует внимания к безопасности и производительности. Для простых задач используйте express-прокси, для сложных систем рассмотрите облачные сервисы. Всегда оценивайте необходимость обхода CORS: в 30% случаев проблему можно решить настройкой сервера API.