CORS : Cross-origin Resource Sharing (header)

Article publié, le et modifié le
1 minute(s) de lecture

Cet article contient 140 mots.
Source brute de l'article : MD

Définition

CORS est une entête HTTP qui contrôle quels sites, externes ou non, peuvent accéder au contenu de votre site web, par le biais de scripts, tel que le propose XMLHttpRequest.

C’est une technique très facile à mettre en place et dont le bénéfice est vraiment important !

L’usage du symbole * accepte que n’importe quel site puisse se connecter ; sinon, remplissez une URL !

Elle fait partie des entêtes de base à générer pour protéger son site web, au même titre que l’usage de HSTS, et des autres entêtes, telles que X-Content-Type-Options, X-Frame-Options, ou X-XSS-Protections,…

Documentations

Exemples

Access-Control-Allow-Origin: *

nginx

add_header Access-Control-Allow-Origin "huc.fr.eu.org" always;

relayd

Et, oui, malheureusement, httpd ne peut pas gérer les entêtes, ce sera son binôme relayd(8) que l’on utilisera !

match response header set "Access-Control-Allow-Origin" value "huc.fr.eu.org"