Utiliser le partage de ressources cross-origin (CORS)

Découvrez comment le partage des ressources cross-origin (CORS) protège les ressources mises en cache sur le CDN de Cloudflare et comment gérer les actifs qui ont des en-têtes CORS.


Présentation

Une requête cross-origin pour les ressources de site web externes au serveur d’origine. Par exemple, a.example.com tente de desservir des ressources à partir de b.secondexample.com. CORS indique au navigateur de déterminer si une requête cross-origin (comme une image ou JavaScript à partir de b.secondexample.com) est autorisée par a.example.com. Le navigateur ne charge pas les ressources qui ne sont pas autorisées par CORS.

Cloudflare prend en charge CORS en :

  • Identifiant les actifs mis en cache en fonction de l’en-tête Hôte, l’en-tête origine, le chemin de l’URL et la requête. Cela permet aux différentes ressources d’utiliser le même en-tête Host mais des en-têtes Origin différents.
  • Passer les en-têtes Access-Control-Allow-Origin à partir du serveur d'origine au navigateur.

L’en-tête Access-Control-Allow-Origin permet aux serveurs de spécifier les règles de partage de leurs ressources avec les domaines externes. Lorsqu’un serveur reçoit une requête pour accéder à une ressource, il répond avec une valeur pour l’en-tête Access-Control-Allow-Origin. Les en-têtes Access-Control-Allow-Origin sont souvent appliqués au contenu pouvant être mis en cache. Un serveur web peut répondre avec différents en-têtes Access-Control-* selon l’en-tête d’origine envoyé dans la requête.


Ajouter ou changer des en-têtes CORS

Si vous ajoutez des CORS à votre serveur web d’origine ou si vous changez leur configuration, le vidage du cache de Cloudflare par URL ne met pas à jour les en-têtes CORS. Forcez Cloudflare à extraire les nouveaux en-têtes au moyen de l’une des options suivantes :

  • Changez le nom du fichier ou l’URL afin de contourner le cache pour indiquer à Cloudflare d’extraire les en-têtes CORS les plus récents.
  • Utilisez l’API d’effacement par fichier unique pour spécifier les en-têtes CORS appropriés avec la requête d’effacement.
  • Mettez à jour l'heure de la dernière modification de la ressource sur votre serveur web d'origine. Ensuite, réalisez unvidage total pour extraire la version la plus récente de vos actifs, dont les en-têtes CORS mis à jour.

Ressources associées

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk