CORS expliqué

Guide complet du partage de ressources entre origines — fonctionnement, chaque en-tête expliqué et erreurs courantes avec solutions.

Aperçu

Qu'est-ce que le CORS ?

Le Cross-Origin Resource Sharing (CORS) est un mecanisme base sur les en-tetes HTTP qui permet a un serveur d'indiquer toute origine (domaine, schema ou port) autre que la sienne a partir de laquelle un navigateur devrait autoriser le chargement de ressources. Les navigateurs appliquent par defaut la politique de meme origine (Same-Origin Policy), qui empeche les pages web d'effectuer des requetes vers une origine differente de celle qui a servi la page.

La politique de meme origine

Deux URLs ont la meme origine si elles partagent le meme schema (http/https), le meme hote et le meme port. Par exemple, https://app.example.com et https://api.example.com sont des origines differentes car l'hote differe. La politique de meme origine empeche un site malveillant de lire des donnees sensibles d'un autre site -- le CORS est le mecanisme qui assouplit cette restriction de maniere controlee.

Requetes simples vs. Preflight

Une "requete simple" utilise GET, HEAD ou POST avec uniquement des en-tetes securises CORS et ne declenche pas de preflight. Toutes les autres requetes cross-origin -- celles utilisant des methodes comme PUT ou DELETE, ou incluant des en-tetes comme Authorization -- declenchent un preflight : le navigateur envoie d'abord une requete OPTIONS pour demander la permission au serveur avant d'envoyer la requete reelle.

Comment fonctionne CORS

Requête simple

Navigateur

GET /api/data
Origin: https://app.example.com

↓

Serveur

200 OK
Access-Control-Allow-Origin: *

↓

✓ Réponse partagée avec JS

Requête de pré-vérification

Navigateur

OPTIONS /api/data
Access-Control-Request-Method: DELETE

↓

Serveur

204 No Content
Access-Control-Allow-Methods: DELETE

↓

Navigateur

DELETE /api/data
Origin: https://app.example.com

↓

✓ Réponse partagée avec JS

En-têtes CORS

10 sur 10 affichés

Erreurs courantes

8 sur 8 affichés

Guides associés

61 codes de statut

Codes de statut HTTP

Référence complète de tous les codes de statut HTTP avec descriptions et exemples.

Parcourir

36 en-têtes

En-têtes HTTP

En-têtes HTTP courants expliqués avec syntaxe, exemples et valeurs courantes.

Parcourir

9 méthodes

Méthodes HTTP

Guide complet des méthodes de requête HTTP avec tableaux comparatifs et exemples.

Parcourir

70 types MIME

Types MIME

Référence complète des types MIME courants avec extensions de fichiers, catégories et exemples d'utilisation.

Parcourir

Essayez dans RequestDock

Envoyez de vraies requêtes HTTP et inspectez les réponses — directement dans votre navigateur.

Ouvrir RequestDock

Aperçu

Qu'est-ce que le CORS ?

La politique de meme origine

Requetes simples vs. Preflight

Comment fonctionne CORS

Requête simple

Requête de pré-vérification

En-têtes CORS

Access-Control-Allow-OriginRéponseRequis

Access-Control-Allow-MethodsRéponseRequis

Access-Control-Allow-HeadersRéponseRequis

Access-Control-Allow-CredentialsRéponseOptionnel

Access-Control-Expose-HeadersRéponseOptionnel

Access-Control-Max-AgeRéponseOptionnel

Access-Control-Request-MethodRequêteRequis

Access-Control-Request-HeadersRequêteOptionnel

OriginRequêteRequis

VaryRéponseOptionnel

Erreurs courantes

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Origin' header must not be the wildcard '*' when the request's credentials mode is 'include'.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: Method DELETE is not allowed by Access-Control-Allow-Methods in preflight response.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: Request header field authorization is not allowed by Access-Control-Allow-Headers in preflight response.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.

Access to fetch at 'https://api.example.com/data' (redirected from 'https://api.example.com/old') from origin 'https://app.example.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: Redirect is not allowed for a preflight request.

Access to fetch at 'https://api.example.com' from origin 'https://app.example.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Credentials' header in the response is '' which must be 'true' when the request's credentials mode is 'include'.

Refused to get unsafe header 'X-Request-Id'

Guides associés

Codes de statut HTTP

En-têtes HTTP

Méthodes HTTP

Types MIME

Essayez dans RequestDock