CORS
CORS (Cross-Origin Resource Sharing)
Un mécanisme de sécurité des navigateurs qui permet aux pages Web de demander des ressources depuis un domaine différent de celui qui a servi la page, contrôlé par des en-têtes HTTP que le serveur définit.
Détail technique
CORS fonctionne via des en-têtes HTTP : Access-Control-Allow-Origin spécifie les origines autorisées (un domaine unique ou *), Access-Control-Allow-Methods liste les méthodes HTTP autorisées, Access-Control-Allow-Headers liste les en-têtes personnalisés autorisés. Les requêtes préliminaires (preflight) — requêtes OPTIONS — sont déclenchées par des méthodes non simples (PUT, DELETE) ou des en-têtes personnalisés. Le navigateur envoie un preflight et met en cache le résultat pendant la durée de Access-Control-Max-Age. Les requêtes avec identifiants (cookies, authentification) nécessitent Access-Control-Allow-Credentials: true et ne peuvent pas utiliser le wildcard * pour l'origine.
Exemple
```javascript
// CORS: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```