CORS
CORS (Chia sẻ Tài nguyên Chéo Nguồn gốc)
Cơ chế bảo mật trình duyệt cho phép trang web yêu cầu tài nguyên từ tên miền khác với tên miền đang phục vụ trang, được kiểm soát bởi các header HTTP chỉ định nguồn gốc nào được phép.
Chi tiết kỹ thuật
CORS hoạt động thông qua các header HTTP: Access-Control-Allow-Origin chỉ định các nguồn gốc được phép, Access-Control-Allow-Methods liệt kê các phương thức HTTP được phép và Access-Control-Allow-Headers đặt tên các header yêu cầu được phép. Đối với các yêu cầu không đơn giản (có header tùy chỉnh hoặc phương thức khác GET/HEAD/POST), trình duyệt gửi yêu cầu OPTIONS preflight trước. Access-Control-Allow-Credentials: true cho phép truyền cookie. Header Access-Control-Max-Age lưu bộ nhớ đệm kết quả preflight. Nếu không có header CORS phù hợp, trình duyệt chặn phản hồi fetch/XMLHttpRequest chéo nguồn gốc.
Ví dụ
```javascript
// CORS: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```