CORS (Cross-Origin Resource Sharing) : Definition et explication | Lexique 123web

CORS (Cross-Origin Resource Sharing)

C

Definition complete

CORS (Cross-Origin Resource Sharing) est un mécanisme de sécurité des navigateurs qui contrôle les requêtes HTTP entre différentes origines (domaines, protocoles ou ports). Il permet aux serveurs de spécifier quels sites tiers peuvent accéder à leurs ressources, protégeant ainsi contre certaines attaques.

Par défaut, les navigateurs appliquent la "Same-Origin Policy" qui bloque les requêtes vers des domaines différents. CORS assouplit cette restriction de manière contrôlée quand le serveur l'autorise explicitement.

Fonctionnement de CORS :

  • Requête simple : GET/POST basiques passent directement avec header Origin
  • Requête preflight : OPTIONS envoyé avant les requêtes complexes pour vérifier les permissions
  • Headers de réponse : Access-Control-Allow-* indiquent les permissions accordées

Headers CORS principaux :

  • Access-Control-Allow-Origin : domaines autorisés (* pour tous)
  • Access-Control-Allow-Methods : méthodes HTTP permises (GET, POST, PUT, DELETE)
  • Access-Control-Allow-Headers : headers personnalisés acceptés
  • Access-Control-Allow-Credentials : autorisation des cookies cross-origin
  • Access-Control-Max-Age : durée de cache du preflight

Erreurs CORS fréquentes :

  • API sans headers CORS configurés
  • Wildcard (*) incompatible avec credentials
  • Headers manquants dans la liste Allow-Headers
  • Preflight non géré (méthode OPTIONS)

Exemples pratiques

  • SPA + API : React sur app.example.com appelle api.example.com, CORS nécessaire
  • CDN fonts : Chargement de Google Fonts depuis un autre domaine autorisé par CORS
  • API publique : Access-Control-Allow-Origin: * pour permettre l'accès à tous
  • API privée : Whitelist de domaines spécifiques autorisés avec credentials
  • Erreur bloquante : "CORS policy: No 'Access-Control-Allow-Origin' header" en console

A quoi sert CORS (Cross-Origin Resource Sharing) ?

  • Configuration d'APIs REST accessibles depuis des applications front-end
  • Intégration de services tiers (paiement, analytics) dans une SPA
  • Hébergement de ressources statiques sur CDN avec accès cross-domain
  • Débogage d'erreurs CORS lors du développement front-end
  • Sécurisation d'APIs en limitant les origines autorisées
  • Configuration de microservices communiquant entre domaines

CORS (Cross-Origin Resource Sharing) en pratique chez 123web

Chez 123web, nous configurons correctement CORS sur toutes les APIs et services que nous développons. Cette configuration technique est essentielle pour le bon fonctionnement des applications modernes tout en maintenant un niveau de sécurité approprié contre les requêtes malveillantes.

Explorez d'autres definitions

XSS
Wireframe
Media query
Local-First Software
Grid System
Sprint
cURL
White hat SEO
WebXR
Session
TypeScript
Iteration
Voir les + definitions

Vous souhaitez ameliorer votre ?

Nos experts vous accompagnent dans votre strategie digitale. Creation de site, referencement SEO, marketing digital.

Demander un devis gratuit 01 87 66 26 35

Vous cherchez un boost de communication adapté à votre budget ?

Nous vous aidons a mettre en place une strategie marketing pour votre entreprise

En dehors de la création de site et du référencement, notre agence digitale peut vous proposer des solutions de communication, des campagnes publicitaires en ligne, des projets sur mesure ...