Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
La same-origin policy restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine. 
No comment yet.
Sign up to comment
Scoop.it!
Explication de la différence entre JSONP et CORS
Mickael Ruau's insight:
Tous les jours, on envoie des requêtes AJAX à droite à gauche, sans vraiment y réfléchir. Et puis vient un jour, où on doit envoyer une requête AJAX sur un autre domaine que le sien, et tout part en sucette. Quand on se retrouve face à ce choix, il existe 2 solutions : JSONP et CORS.
Scoop.it!
Deux documents ne provenant pas du même domaine ne peuvent pas accéder aux contenus respectifs :
Cependant
Scoop.it!
Mickael Ruau's insight:
La première chose pour un site souhaitant faire du CORS est de bien positionner les origines autorisées avec le header Access-Control-Allow-Origin. Ce dernier doit stipuler explicitement les origines autorisées pour bénéficier pleinement de l’utilisation des XHR (rappelons que l’utilisation de ces headers concernent les XmlHttpRequest, une iframe par exemple n’émettra pas de header Origin et sera soumise à la Same Origin Policy).
Scoop.it!
XMLHttpRequest possède des limitations :
CORS en deux mots
Note
Scoop.it!
Make configuration changes to your web browser or run a local server to bypass CORS and other cross origin problems when testing APIs locally.
Mickael Ruau's insight:
Ask the server owner politely to add CORS supportIt doesn’t take much effort to enable cross origin resource sharing on a server. As mentioned on enable-cors.org, the owner only needs to add Access-Control-Allow-Origin: * to the response header. There are even instructions on how to do this in various programming languages, all of which are not too difficult and make a world of difference to developers experiencing these errors.
Scoop.it!
Web pages are under the restrictions of same-origin policy, which means scripts contained in a web page cannot access data in another page with different origin. For example…
Scoop.it!
Nous avons vu au cours d’un précédent article comment contourner la limitation de Same Origin Policy en utilisant la balise <script> pour effectuer des requêtes Ajax vers un serveur distant (nom de domaine différent du nom de domaine sur lequel notre application est déployée). Cette solution nous imposait de modifier notre code côté navigateur, pour ne plus utiliser une instance d’object XMLHttpRequest, mais passer par de la génération dynamique de balises HTML <script>. Nous allons à présent voir comment effectuer des requêtes Ajax distantes en passant par un proxy, de manière à ne pas avoir à ré-écrire tout notre code de chargement de données depuis l’application HTML+Javascript. Nous commencerons par l’écriture d’un proxy en PHP, par lequel nous passerons pour effectuer nos appels Ajax, et, en seconde partie, nous verrons comment utiliser les fonctionnalités de proxy-ing du serveur Web Apache, pour ne pas avoir à écrire nous-même le proxy.
Scoop.it!
Recently I ran a workshop where I ran a small section of the workshop on CORS and how to enable it. In the past, I've found it to be very easy but this time around everything backfired and it didn't work. So after the workshop I went about understanding why the CORS demo it didn't work, and how to get it working.
Mickael Ruau's insight:
Cross Origin Resource Sharing - i.e. cross domain Ajax. The technical side of getting CORS to work has been explained in a lot more detail by Nicholas C. Zakas in his article Cross-domain Ajax with Cross-Origin Resource Sharing, (i.e. IE8, for reasons beyond most, use XDomainRequest - utterly bespoke - but that's Microsoft for you).
Scoop.it!
CORS introduces a standard mechanism that can be used by all browsers for implementing cross-domain requests. The spec defines a set of headers that allow the browser and server to communicate about which requests are (and are not) allowed. CORS continues the spirit of the open web by bringing API access to all.
Scoop.it!
Documentation du navigateur Microsoft Edge pour l'erreur "XMLHttpRequest: Erreur réseau 0x41, Accès au réseau refusé."
Mickael Ruau's insight:
Un script a essayé d'accéder aux données à partir d'une source autre que l'hôte de la page actuelle. La stratégie d'origine suivie par Internet Explorer et d'autres navigateurs permet aux scripts d'accéder aux données uniquement à partir de sources avec les mêmes schéma, hôte et port de l'URL de la page actuelle. Par exemple, si la page actuelle est https://employees.mycompany.com, vous ne pouvez pas accéder aux données à partir des URL suivantes :
Pour corriger cette erreur
|
Scoop.it!
CORS is the kind of bad word I have tried to avoid for years ! Even when I moved to a full-stack position and started to work on webapps, I willingly ignored it. But then, I joined Gravitee.io, and…
Scoop.it!
Lorsqu’ils consultent des sites protégés par SSL, les visiteurs s’attendent à être en sécurité et protégés – ce qu’ils sont en droit d’exiger. Lorsqu’un site ne protège ou ne sécurise pas intégralement ses contenus, le navigateur affiche une alerte de type « contenu mixte ».
Scoop.it!
Liste des headers HTTP permettant de configurer certains aspects techniques de votre site, et en particulier la sécurité.
Mickael Ruau's insight:
lutôt que de réécrire des spécifications techniques et d’expliquer en détails le fonctionnement des headers HTTP, nous allons vous fournir une analyse synthétique et une liste de liens intéressants que vous pourrez parcourir si vous souhaitez creuser le sujet. Nous allons présenter les headers suivants :
Scoop.it!
La spécificité du tracking cross-domain tient à la nécessité de mettre un place un suivi de performance sur plusieurs domaines au lieu d’un seul, en garantissant une continuité du suivi dans Google Analytics (GA).
Scoop.it!
There are some more headers and settings involved if you want to support verbs other than GET/POST, custom headers, or authentication. You can learn more about these options in the Using CORS tutorial on HTML5 Rocks.
If you want the TL;DR version, take a look at the flowchart for implementing CORS support. If you'd like to learn more about implementing CORS for a specific platform, follow one of the links below:
Scoop.it!
Depuis des années, les navigateurs restreignent l’accès à des ressources n’appartenant pas au domaine depuis lequel un document a été chargé (règle dite de Same-Origin Policy). CORS est un mécanisme robuste et normalisé par le W3C permettant à tout navigateur compatible d’effectuer des requêtes HTTP cross-domain. Il a valeur de standard industriel et étend le champ des possibilités bien au delà de ce qui est actuellement permis par JSONP. JSONP est très pratique pour partager des données publiques (comprendre non sensibles).
Scoop.it!
Cross-Origin Resource Sharing (CORS) est une spécification du W3C permettant les requêtes cross-domain depuis les navigateurs compatibles. Si l’API que vous interrogez est compatible avec CORS, vous pourrez accéder à l’API même si elle n’est pas sur le même domaine que votre application. CORS est compatible avec :
Pour utiliser CORS il faut envoyer au serveur des headers de contrôle d’accès qu’il inspectera pour approuver ou non la requête. Ces headers de contrôle d’accès décriront le contexte de la requête, sa méthode HTTP, son origine, ses headers custom, … Selon le type de requête, ces headers sont envoyés automatiquement par le navigateur avec la requête ou dans une requête préliminaire (preflight request). La requête aboutira si le serveur répond avec des headers de contrôle d’accès compatibles. => OPTIONS https://api.com/foobar - HEADERS - Origin: http://application.com Access-Control-Request-Method: POST Access-Control-Request-Headers: Api-Key <= HTTP/1.1 204 No Content - RESPONSE HEADERS - Access-Control-Allow-Origin: http://application.com Access-Control-Allow-Methods: GET, POST, OPTIONS Access-Control-Max-Age: 86400 Access-Control-Allow-Headers: Api-KeyPour plus d’informations sur le fonctionnement de CORS, je vous laisse lire les articles Making Cross-Domain Requests with CORS et Démystifier CORS (Cross-Origin Resource Sharing) qui sont très complets
Mickael Ruau's insight:
Reverse ProxyMalheureusement l’API que je souhaitais utiliser n’était pas compatible CORS. Si c’est votre cas également, il faudra alors passer par un proxy. Nginx permet simplement de mettre en place ce genre de reverse proxy grace à une configuration de ce type : server { listen 80; server_name application.com; location /api { # Rewrite /api/resource/action?key=value to /resource/action?key=value RewriteRule ^/api/(.*)$ /$i [L,PT,QSA] # Activer le proxy proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://api.com; proxy_redirect off; proxy_buffers 32 16k; proxy_busy_buffers_size 64k; } }Ainsi, votre application pourra appeler votre API sur http://application.com/api sans problème de cross-origin. Si vous avez besoin d’exposer l’API sur un autre domaine ou sur un autre port que votre application, vous aurez besoin de permettre le cross-domain grâce à CORS. Mon application tournant sur localhost:8080, j’ai décidé de mettre mon proxy sur localhost:8181. server { listen 8181; server_name localhost; location / { # Activer le proxy proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://api.com; proxy_redirect off; proxy_buffers 32 16k; proxy_busy_buffers_size 64k; # Ajouter les headers de contrôle d'accès CORS add_header 'Access-Control-Allow-Origin' '*' always; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always; add_header 'Access-Control-Allow-Headers' 'Origin, X-Requested-With, Content-Type, Accept' always; add_header 'Access-Control-Allow-Credentials' 'true' always; }Je peux ainsi appeler l’API sur localhost:8181 de façon transparente. Attention, Access-Control-Allow-Origin: '*' autorise les requêtes cross-origin depuis n'importe quel domaine, en dev cela permet de facilement mettre CORS en place mais dans un soucis de sécurité il faudrait être plus restrictif.
Scoop.it!
When building complex client-side applications, at some point it usually becomes necessary to make Ajax requests to domains other than the one from which y
Mickael Ruau's insight:
Alternatives to CORSIf your web application must run in browsers that do not support CORS or interact with servers that are not CORS-enabled, there are several alternatives to CORS that have been utilized to solve the cross-origin communication restriction.
Scoop.it!
Dans cet article, je détaille comment configurer la communication entre deux serveurs de développement locaux. Le premier héberge un site en angularJS qui souhaite communiquer avec le second, un serveur REST basé sur php et mySQL. Ce genre de communication intra-serveur doit être configuré en suivant les spécifications du W3C
Scoop.it!
Let's Talk About CORSOne of the core premises of an API is that clients on different domains than the one the API is hosted on will be connecting to the API to send and receive data. There is an inherit security risk here, as this can allow an attacker to create an imitation page and steal data sent back and forth. Therefore this ability must be explicitly enabled on pages that wish to allow what is called Cross-Origin Resource Sharing, aka CORS. One excellent resource to learn more about CORS is the website Enable CORS - it was quite helpful to me as I was trying to understand things.
For our API we need to make sure that this is enabled, so the very first thing that is done in the __construct method is to set some custom headers. The first two are the magic; firstly we allow requests from any origin to be processed by this page, next we allow for any HTTP method to be accepted.
Once the surprisingly simple yet completely crucial step of allowing CORS requests has been completed, it becomes time for our script to understand what the client has asked of it. To do that we're going to take the $request variable which will be sent to our script from the .htaccess file (remember? it contains the original URI that the client requested), and tear it apart into the components we need. Once it's been exploded around the slash by pulling off the very first element we can grab the endpoint, if applicable the next slot in the array is the verb, and any remaining items are used as $args.
The HTTP method will describe the purpose of this request. GET requests are easy to detect, but DELETE and PUT requests are hidden inside a POST request through the use of the HTTP_X_HTTP_METHOD header. Once a method has been picked, the appropriate data source is parsed and cleaned for safety before being executed.
|
