CORS
CORS (Cross-Origin Resource Sharing - Chia sẻ tài nguyên giữa các nguồn gốc khác nhau) là một hệ thống, bao gồm việc truyền HTTP header, xác định liệu trình duyệt có chặn mã JavaScript front-end truy cập các phản hồi cho các yêu cầu giữa các nguồn gốc khác nhau hay không.
Chính sách bảo mật cùng nguồn gốc cấm truy cập tài nguyên giữa các nguồn gốc khác nhau. Nhưng CORS cho phép các máy chủ web có khả năng cho phép truy cập tài nguyên giữa các nguồn gốc khác nhau.
Các CORS header
Access-Control-Allow-Origin-
Cho biết liệu phản hồi có thể được chia sẻ hay không.
Access-Control-Allow-Credentials-
Cho biết liệu phản hồi cho yêu cầu có thể được hiển thị khi cờ thông tin xác thực là true hay không.
Access-Control-Allow-Headers-
Được sử dụng trong phản hồi cho yêu cầu preflight để chỉ ra các HTTP header nào có thể được sử dụng khi thực hiện yêu cầu thực tế.
Access-Control-Allow-Methods-
Chỉ định phương thức hoặc các phương thức được phép khi truy cập tài nguyên trong phản hồi cho yêu cầu preflight.
Access-Control-Expose-Headers-
Cho biết header nào có thể được hiển thị như một phần của phản hồi bằng cách liệt kê tên chúng.
Access-Control-Max-Age-
Cho biết kết quả của yêu cầu preflight có thể được lưu trong bộ nhớ đệm bao lâu.
Access-Control-Request-Headers-
Được sử dụng khi phát hành yêu cầu preflight để cho máy chủ biết HTTP header nào sẽ được sử dụng khi thực hiện yêu cầu thực tế.
Access-Control-Request-Method-
Được sử dụng khi phát hành yêu cầu preflight để cho máy chủ biết phương thức HTTP nào sẽ được sử dụng khi thực hiện yêu cầu thực tế.
Origin-
Cho biết nguồn gốc của một fetch.
Timing-Allow-Origin-
Chỉ định các nguồn gốc được phép xem các giá trị thuộc tính được truy xuất qua các tính năng của Resource Timing API, mà nếu không thì sẽ được báo cáo là không do các hạn chế giữa các nguồn gốc.