Cross-Origin Resource Sharing

Cross-Origin Resource Sharing (CORS, спільне використання ресурсів з різних джерел) — механізм безпеки сучасних браузерів, який дозволяє вебсторінкам використовувати дані, що розміщені на інших доменах. Тобто втілює захист для вебсторінок, які не відповідають політиці одного походження^[1].

Раніше для отримання доступу до ресурсів з інших адрес використовувався JSONP, проте він має суттєве обмеження підтримує тільки GET запити. Використання CORS дозволяє вебпрограмісту використовувати звичайний XMLHttpRequest, який дозволяє кращу обробку помилок ніж JSONP. З іншого боку, JSONP працює на застарілих браузерах, які не мають підтримки CORS. CORS підтримується більшістю сучасних браузерів.^[2]

Для реалізації цього механізму, вебсервер з якого завантажується вебсторінка додає в HTTP-заголовок окремий тег, в якому перераховано домени, з яких вебсторінка може отримувати дані.

Access-Control-Allow-Origin: https://uk.wikipedia.org

Браузер, який отримав таку відповідь від вебсервера, дозволить вебсторінці запитувати та отримувати дані тільки від двох вебсерверів: 1) з якого вебсторінка була завантажена та 2) з https://uk.wikipedia.org [Архівовано 16 травня 2008 у Wayback Machine.]

Зноски

↑ Архівована копія. Архів оригіналу за 21 березня 2017. Процитовано 14 жовтня 2011.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
↑ Архівована копія. Архів оригіналу за 29 квітня 2016. Процитовано 14 жовтня 2011.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)