CORS

CORS, ou Cross-Origin Resource Sharing, est un mécanisme de sécurité qui permet aux ressources d'une page web d'être partagées entre différents domaines. Il est essentiel pour protéger les applications web contre certaines vulnérabilités de sécurité liées aux requêtes inter-domaines.

Coach IA RecrutLabs

15 février 2026

3 min de lecture

Dans ce guide

1Comprendre le concept 2L'enjeu en entretien 3Exemple concret 4Les erreurs à éviter

De quoi parle-t-on ?

CORS, acronyme de Cross-Origin Resource Sharing, est un mécanisme de sécurité qui permet aux serveurs web de contrôler les ressources accessibles depuis un autre domaine. Ce mécanisme est principalement utilisé dans le contexte des navigateurs web, qui appliquent des restrictions strictes concernant les requêtes inter-domaines pour protéger les utilisateurs contre les attaques comme le Cross-Site Request Forgery (CSRF) et le Cross-Site Scripting (XSS).

Lorsqu'une page web essaie d'accéder à des ressources situées sur un autre domaine, le navigateur envoie une requête HTTP qui inclut une en-tête spécifique. Cette en-tête indique au serveur d’origine qu’une requête est effectuée depuis un domaine différent. Si le serveur accepte cette requête, il répond avec des en-têtes CORS appropriés, permettant ainsi au navigateur d’afficher ou d'utiliser ces ressources. Si la réponse ne contient pas les en-têtes nécessaires, le navigateur bloque l’accès à ces ressources, en protégeant ainsi l'utilisateur.

Le mécanisme CORS est né des besoins croissants d'interopérabilité entre différentes applications web, en particulier avec l'explosion des API RESTful et des services web. Avant CORS, les navigateurs appliquaient une politique de même origine, qui empêchait les pages web de faire des requêtes à des domaines différents de celui qui les a servies. Cela compliquait la création d'applications web modernes qui nécessitent souvent l'accès à des données provenant de plusieurs sources. CORS a été introduit pour permettre une telle interopérabilité tout en maintenant un niveau de sécurité approprié.

Concrètement, CORS fonctionne en ajoutant des en-têtes HTTP à la réponse d'un serveur. Les en-têtes tels que Access-Control-Allow-Origin spécifient quels domaines peuvent accéder aux ressources du serveur. D'autres en-têtes, comme Access-Control-Allow-Methods et Access-Control-Allow-Headers, déterminent les méthodes HTTP et les en-têtes autorisés pour les requêtes CORS. Ce mécanisme permet ainsi aux développeurs de configurer finement les permissions d'accès en fonction des besoins spécifiques de leur application.

Métiers concernés par CORS

web developer security engineer api developer

Prêt à réussir vos entretiens ?

Rejoignez RecrutLabs et accédez à nos outils d'entraînement IA pour simuler des entretiens réalistes et obtenir des feedbacks instantanés.

Simulations illimitées avec IA
Feedback détaillé en temps réel
Réduction du stress avant le jour J

Pas de carte bancaire requise

Pourquoi les recruteurs posent cette question ?

L'importance de CORS dans le développement d'applications web modernes ne peut être sous-estimée. Avec l'essor des API et des services basés sur le cloud, de nombreuses applications dépendent d'interactions entre différents domaines. CORS est essentiel pour permettre ces interactions tout en maintenant la sécurité des utilisateurs. En effet, sans CORS, les navigateurs bloqueraient automatiquement les requêtes provenant de domaines tiers, ce qui limiterait considérablement la capacité des développeurs à créer des applications riches et interconnectées.

De plus, l'absence de CORS expose les utilisateurs à des risques de sécurité. Les attaques CSRF, par exemple, exploitent la confiance qu'un serveur a envers un navigateur, en soumettant des requêtes non autorisées au nom d'un utilisateur authentifié. CORS aide à atténuer ce risque en n'autorisant que les requêtes émanant de domaines explicitement approuvés par le serveur. Cela renforce la confiance dans les échanges de données entre différents services en ligne.

En outre, CORS est crucial pour le développement de solutions innovantes. De nombreux services utilisent des architectures basées sur des microservices, où différentes parties d'une application peuvent être hébergées sur des serveurs distincts. Grâce à CORS, ces microservices peuvent interagir de manière sécurisée, permettant aux développeurs de créer des applications plus modulaires et évolutives.

Sur le plan pratique, comprendre et implémenter CORS correctement peut également améliorer l'expérience utilisateur. Lorsque les requêtes inter-domaines sont gérées correctement, les applications peuvent charger des ressources de manière fluide et efficace, offrant ainsi une meilleure performance globale. En revanche, une mauvaise configuration de CORS peut entraîner des erreurs frustrantes pour les utilisateurs, qui peuvent ne pas avoir accès à certaines fonctionnalités de l'application.

Exemple Concret

Pour illustrer le fonctionnement de CORS, considérons un scénario simple. Imaginons une application web hébergée sur https://monapplication.com qui souhaite accéder à des ressources d'une API située sur https://api.exemple.com. Lorsque l'application fait une requête AJAX vers cette API, le navigateur envoie une requête HTTP incluant l'en-tête Origin spécifiant le domaine d'origine, soit https://monapplication.com.

Si le serveur de l'API accepte cette requête, il doit répondre avec des en-têtes CORS appropriés. Par exemple, la réponse pourrait inclure :

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://monapplication.com
Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: Content-Type

Ces en-têtes indiquent au navigateur que l'origine de la requête est approuvée et que les méthodes HTTP GET et POST sont autorisées pour cette requête. Ainsi, le navigateur peut récupérer les données demandées sans bloquer l'accès.

En revanche, si le serveur ne renvoie pas l'en-tête Access-Control-Allow-Origin ou s'il n'inclut pas le domaine d'origine dans la liste des origines approuvées, le navigateur bloquera l'accès aux ressources, et l'application ne pourra pas récupérer les données nécessaires. Cela peut entraîner des erreurs visibles pour l'utilisateur, telles que des messages de console indiquant que la requête a été bloquée pour des raisons de politique de même origine.

Un autre exemple courant est celui des requêtes préflight (préliminaires) qui se produisent lors de l'utilisation de méthodes HTTP non standards, comme PUT ou DELETE. Avant d'effectuer la requête réelle, le navigateur envoie une requête OPTIONS au serveur pour vérifier quelles méthodes et en-têtes sont autorisés. Le serveur doit alors répondre avec des en-têtes CORS appropriés pour permettre la requête réelle.

Ce qu'il ne faut pas dire

Lors de la mise en œuvre de CORS, plusieurs erreurs courantes peuvent survenir. L'une des erreurs les plus fréquentes est de ne pas inclure l'en-tête Access-Control-Allow-Origin dans la réponse du serveur. Cela entraîne un blocage immédiat de la requête par le navigateur, même si l'utilisateur a été authentifié et est autorisé à accéder aux ressources.

Une autre erreur fréquente est de configurer trop largement les en-têtes CORS. Par exemple, l'utilisation de Access-Control-Allow-Origin: * permet à tous les domaines d'accéder aux ressources, ce qui peut poser des problèmes de sécurité majeurs. Il est essentiel de spécifier uniquement les domaines qui ont besoin d'accéder aux ressources pour minimiser les risques de sécurité.

Les erreurs liées aux prérequêtes OPTIONS sont également fréquentes. Si le serveur ne répond pas correctement aux requêtes OPTIONS ou ne renvoie pas les en-têtes requis, les requêtes réelles échoueront. Cela peut être frustrant pour les développeurs, car il peut être difficile de diagnostiquer les problèmes de configuration de CORS sans outils de débogage appropriés.

Enfin, ne pas tester les configurations de CORS dans différents environnements (développement, test, production) peut également entraîner des problèmes. Les configurations qui fonctionnent dans un environnement peuvent échouer dans un autre, en raison de différences dans la manière dont les serveurs gèrent les requêtes CORS. Il est donc crucial de tester rigoureusement chaque configuration dans chaque environnement avant le déploiement.

L'astuce pour briller

Pour réussir à implémenter CORS, voici quelques conseils utiles. D'abord, il est important de bien comprendre les besoins de votre application. Identifiez les domaines qui doivent accéder à vos ressources et configurez les en-têtes CORS en conséquence. Évitez d'utiliser des configurations trop larges qui pourraient compromettre la sécurité de votre application.

Ensuite, utilisez des outils de débogage pour tester vos configurations CORS. Des outils comme les consoles de développement des navigateurs peuvent vous aider à détecter les erreurs liées aux politiques de sécurité. Portez une attention particulière aux messages d'erreur qui peuvent indiquer des problèmes de configuration.

Il est également bon de mettre en place un système de journalisation pour suivre les requêtes CORS. Cela peut vous aider à identifier les requêtes bloquées et à comprendre pourquoi certaines requêtes échouent. Une telle visibilité peut être cruciale pour résoudre des problèmes de configuration et améliorer l'expérience utilisateur.

Enfin, restez informé sur les évolutions des normes CORS et des meilleures pratiques. Les technologies web évoluent rapidement, et les mises à jour des navigateurs peuvent introduire de nouveaux comportements ou exigences concernant CORS. Participer à des forums ou suivre des blogs sur le développement web peut vous aider à rester à jour sur ces changements.