CORS
Även känt som: Cross-Origin Resource Sharing
Säkerhetsmekanism i webbläsare som kontrollerar när en sajt får göra förfrågningar till en annan domän. Viktigt för API:er och moderna webbapplikationer.
CORS (Cross-Origin Resource Sharing) är en webbläsarsäkerhet som styr när JavaScript på en sajt får hämta data från en annan domän. Utan CORS hade varje sajt kunnat läsa privata data från andra domäner du är inloggad på — en uppenbar säkerhetsrisk. CORS-mekanismen kräver att servern explicit godkänner cross-origin-anrop via HTTP-headers.
Typiskt scenario: din React-app på app.dindomän.se vill hämta data från ditt API på api.dindomän.se. Utan CORS blockerar webbläsaren anropet. Lösningen är att API:et returnerar headern "Access-Control-Allow-Origin: https://app.dindomän.se" som tillåter anrop från just den origin. För utveckling kan du sätta "*" (tillåt alla) men för produktion bör du alltid lista specifika origins.
För svenska utvecklare blir CORS aktuellt när du bygger separata frontend + backend (Next.js + Laravel API, React + Django). Konfiguration görs i backend: Laravel har corsMiddleware, Express har cors-paketet, Django har django-cors-headers. För statiska sajter som hostas på samma domän som API:et spelar CORS ingen roll.
Fördjupning på denna.se
Relaterade termer
API
Standardiserat gränssnitt som låter mjukvarusystem kommunicera med varandra — grunden för alla moderna integrationer och molntjänster.
REST API
Arkitekturstil för webb-API:er baserad på HTTP-metoder (GET, POST, PUT, DELETE) och resurser. Dominerande standard för moderna integrationer.
CSP
HTTP-header som begränsar vilka resurser en webbsida får ladda — skyddar mot XSS och data-injicering. Rekommenderat säkerhetslager för moderna sajter.