Cette page a été traduite à partir de l'anglais par la communauté.Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.
CORS
CORS (Partage de ressource cross-origin) est un mécanisme qui consiste à transmettre desentêtes HTTP, qui déterminent s'il faut ou non bloquer les requêtes à des ressources restreintes sur une page web qui se trouve sur un domaine externe au domaine dont la ressource est originaire.
Lapolitique de sécurité de même origine interdit les requêtes d'origines différentes par défaut et ce pour des raisons de sécurité.CORS permet de contourner cette limitation en permettant au serveur d'avoir le contrôle sur les ressources partagés et offre un mécanisme sécurisé pour permettre l'échange de données qui ne partagent pas le même domaine d'origine (d'où le terme "cross-origin").
En-têtes CORS
Access-Control-Allow-OriginIndique le ou les domaines pour lesquels la ressource peut être partagée.
Access-Control-Allow-CredentialsIndique si la réponse peut ou non être exposée si le flag est à
true.Access-Control-Allow-HeadersUtilisé en réponse à une requête de pré-vérification pour indiquer quels sont les en-têtes qui peuvent être utilisés dans la requête courante.
Access-Control-Allow-MethodsUtilisé en réponse à une requête de pré-vérification pour indiquer quels sont les méthodes allouées pour accéder à une ressource.
Access-Control-Expose-HeadersIndique quels en-têtes peuvent être exposés dans le cadre de la réponse en énumérant leurs noms.
Access-Control-Max-AgeIndique combien de temps le résultat d'une pré-vérification peut être gardé en cache par le demandeur de la pré-vérification.
Access-Control-Request-HeadersUtilisé lors de l'émission d'une demande de contrôle en amont, pour indiquer au serveur quels en-têtes HTTP seront utilisés lors de la demande.
Access-Control-Request-MethodUtilisé lors de l'émission d'une demande de contrôle en amont permettant au serveur de savoir quelleméthode HTTP sera utilisée lors de la création de la requête.
OriginIndique quelle est l'origine d'une récupération.
Timing-Allow-OriginIndique les origines qui sont autorisées à voir les valeurs des attributs récupérés via les fonctionnalités de l'API de chronométrage des ressources, qui seraient autrement signalées comme zéro en raison des restrictions cross-origin.