Sommaire

La gestion de CORS CORS

CORS est un acronyme signifiant Cross Origin Resource Sharing. Pour bien comprendre ce concept, il faut tout d’abord rappeler que les navigateurs n’ont pas le droit de faire des appels AJAX sur d’autres domaines que les leurs, et ceci pour des raisons de sécurité. On appelle cela la same-origin policy. En effet, cela évite que des sites Internet malicieux puissent lire des données sensibles sur d’autres sites, notamment via Web API. Cependant, dans le cadre de communication intersystème web, cela pose un problème. Comment un site web, censé communiquer avec un autre système web pour un échange de données, peut-il récupérer des informations si le navigateur n’autorise pas ce genre d’appel ? Le standard W3C a tout prévu avec CORS. AJAX same-origin policy

Cette problématique rentre clairement en compte de nos jours avec l’interconnexion des systèmes web. Afin de faciliter l’échange de données, les sites web s’appellent mutuellement via des web services et autres API de manière automatique, et font ainsi face à cette interdiction.

Mais au final, qu’appelle-t-on "la même origine" ? Deux ressources ont la même origine si le schéma de l’URL, l’hôte et le port sont les mêmes. Par exemple, les URL suivantes ont la même origine :

  • http://monsite.com/ressource1.html.

  • http://monsite.com/monstyle2.css.

  • http://monsite.com/monimage.jpg. ...