Begrip: CORS

CORS (Cross-Origin Resource Sharing) is een systeem waarbij niet toegestane, vanuit JavaScript verstuurde, HTTP request geblokkeerd kunnen worden via HTTP Headers.

Standaard worden alle requests naar een andere origin geblokkeerd. Omdat elke website client-side uitgevoerd wordt, worden dus standaard alle requests vanuit de browser geblokkeerd. Op deze manier wordt het veel moeilijker voor kwaadwilligen om JavaScript code uit te voeren via een extensie, bookmark, of andere attack vector.
Natuurlijk werkt dit enkel voor HTTP requests en niet voor andere JavaScript code, maar HTTP requests zijn altijd nodig om gegevens te stelen die niet rechtstreeks op de webpagina verschijnen.

Natuurlijk zijn er API's die zonder problemen publiek beschikbaar gesteld kunnen worden. Voor deze API's moeten de Access-Control-Allow-Origin header ingesteld worden voor elk GET en POST endpoint. Hier kunnen meerdere origins aan meegegeven worden, de origin *** kan gebruikt worden om de route overal beschikbaar te maken.