CORS en français

Qu'est-ce que le CORS ?

Le Cross-Origin Resource Sharing (CORS) est une spécification web qui utilise des en-têtes HTTP afin de définir comment un serveur peut gérer les requêtes provenant de ressources extérieures. En des termes plus simples, il permet de contrôler l'accès aux ressources sur le serveur, en spécifiant quelles domaines peuvent interagir avec celui-ci.

Fonctionnement du CORS

Lorsqu'une application web tente de faire une requête à un autre domaine, le navigateur va généralement envoyer une requête "préliminaire" (preflight request) afin de s'assurer que le serveur autorise cette action. Cette vérification est cruciale pour la sécurité des applications web, car elle empêche les attaques de type Cross-Site Request Forgery (CSRF) et d'autres vulnérabilités.

En-têtes CORS et leur utilisation

L'un des principaux en-têtes est Access-Control-Allow-Origin. Ce dernier indique les domaines qui sont autorisés à accéder aux ressources. Par exemple, si un serveur souhaite autoriser uniquement les demandes venant de 'https://example.com', il peut le faire comme suit :

Access-Control-Allow-Origin: https://example.com