Singkatan dari “Cross-Origin Resource Sharing.” CORS memungkinkan skrip di halaman web untuk meminta sumber daya dari domain lain.
Sebagian besar browser web memblokir jenis permintaan ini secara default untuk tujuan keamanan.
Halaman web dapat meminta sumber daya dari domain lain- selama permintaan berasal dari HTML.
Misalnya, bagian ini dapat merujuk sumber daya, seperti file CSS, font, dan file JS domain lainnya.
Contohnya termasuk skrip Google Analytics, pustaka jQuery, dan font yang di-host di server lain.
Demikian pula, dapat meminta gambar dari CDN atau domain lain.
Permintaan sumber daya lintas asal di HTML tidak memerlukan izin CORS.
Ketika skrip atau elemen iframe membuat permintaan silang-asal, CORS diperlukan.
Misalnya, metode AJAX- yang berjalan setelah halaman dimuat- tidak dapat meminta sumber daya dari domain lain.
CORS mengesampingkan pengaturan browser default ini dan memungkinkan permintaan untuk dilalui.
CORS diimplementasikan menggunakan header HTTP “Kontrol Akses”.
Admin server dapat menambah atau memodifikasi header respons, yang dikirim ke browser klien saat halaman web diakses.
Pengaturan ini, yang dapat diterapkan pada server Apache dan IIS, mungkin spesifik situs atau server di seluruh server.
Di bawah ini adalah permintaan umum dan header respons: Jika skrip di Urbanidea.id meminta sumber daya dari Sharpened.com menggunakan tindakan GET, itu dapat mengirim header permintaan berikut: Untuk mengizinkan permintaan, Sharpened.com dapat merespons dengan header berikut: Access-control-wallow-origin dapat diatur ke domain tertentu atau wildcard menggunakan tanda bintang (*).
Pengaturan wildcard memungkinkan permintaan lintas sumber daya dari semua domain, yang mungkin merupakan risiko keamanan.
Metode akses-kontrol-control dapat diatur untuk meletakkan, memposting, menghapus, dan lainnya, termasuk pengaturan wildcard (*) yang memungkinkan semua metode.
