CORS (Cross-Origin Resource Sharing)

CORS (Cross-Origin Resource Sharing) je bezpečnostní mechanismus používaný ve webovém prohlížeči, který umožňuje webovým stránkám požadovat zdroje (jako jsou data, obrázky nebo skripty) z jiných zdrojů přes různé domény nebo původy (origin). Standardní zabezpečení webových prohlížečů zabrání webové stránce vytvořit požadavek na zdroj, který má jiný původ, než má samotná stránka. To je vlastnost známá jako same-origin policy.

Pokud je stránka hostovaná na doméně A a chce požadovat data nebo zdroje z domény B, prohlížeč bude blokovat tento požadavek, pokud není explicitně povoleno CORS. Bez CORS by webový prohlížeč povolil pouze požadavky na zdroje, které mají stejný původ jako samotná stránka.

Pro umožnění CORS mezi dvěma různými doménami musí server na straně domény B povolit přístup z domény A. To se obvykle dělá přidáním hlavičky „Access-Control-Allow-Origin“ do odpovědi serveru z domény B, která obsahuje povolené původy (domény), které mohou požadovat zdroje.

Například, pokud webová stránka na doméně „https://www.example.com“ potřebuje získat data ze zdroje na doméně „https://api.example.com„, musí server na „https://api.example.com“ přidat následující HTTP hlavičku:

Tím se umožní webové stránce na doméně „https://www.example.com“ požadovat data ze zdroje na „https://api.example.com„.

CORS je důležitý nástroj pro zabezpečení webových aplikací a současně umožňuje sdílení dat a zdrojů mezi různými doménami bezpečným způsobem.