Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 249

CORS (Partage de ressources entre origines)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que CORS (Partage de ressources entre origines) ?

CORS (Partage de ressources entre origines)Mécanisme appliqué par le navigateur permettant à un serveur d'assouplir sélectivement la politique de même origine pour que du JavaScript d'une origine puisse lire les réponses d'une autre.

CORS s'appuie sur des en-têtes de réponse comme « Access-Control-Allow-Origin », « Access-Control-Allow-Methods », « Access-Control-Allow-Headers » et « Access-Control-Allow-Credentials ». Pour les requêtes non « simples », le navigateur envoie un préflight « OPTIONS » et ne poursuit que si le serveur autorise explicitement l'origine et la méthode. CORS ne protège pas le serveur — toute personne peut appeler l'API directement —, il contrôle seulement quelles origines peuvent lire la réponse dans un navigateur. Des erreurs classiques (refléter l'en-tête « Origin » avec des credentials, utiliser « * » avec des cookies, faire confiance à l'origine « null ») mènent à des fuites de données et à des prises de contrôle de comptes ; une allow-list stricte par route est la valeur sûre.

Exemples

  1. 01

    L'API répond « Access-Control-Allow-Origin: https://app.example.com » et « Access-Control-Allow-Credentials: true » pour cette seule origine.

  2. 02

    Serveur mal configuré qui reflète tout Origin et autorise les credentials, permettant le vol de données inter-sites.

Questions fréquentes

Qu'est-ce que CORS (Partage de ressources entre origines) ?

Mécanisme appliqué par le navigateur permettant à un serveur d'assouplir sélectivement la politique de même origine pour que du JavaScript d'une origine puisse lire les réponses d'une autre. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Que signifie CORS (Partage de ressources entre origines) ?

Mécanisme appliqué par le navigateur permettant à un serveur d'assouplir sélectivement la politique de même origine pour que du JavaScript d'une origine puisse lire les réponses d'une autre.

Comment se défendre contre CORS (Partage de ressources entre origines) ?

Les défenses contre CORS (Partage de ressources entre origines) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de CORS (Partage de ressources entre origines) ?

Noms alternatifs courants : Partage de ressources entre origines.

Termes liés

Voir aussi