CORS

CORS
Photo by Campaign Creators / Unsplash

CORS staat voor Cross-Origin Resource Sharing en is een beveiligingsmechanisme dat webbrowsers gebruiken om te bepalen of een webpagina in de ene domeinnaam toegang heeft tot bronnen (zoals JavaScript-, CSS-, of andere bestanden) in een andere domeinnaam.

Dit is een belangrijk mechanisme om de beveiliging van webapplicaties te waarborgen, omdat het voorkomt dat kwaadaardige scripts toegang krijgen tot gegevens van andere websites die in een ander domein zijn gehost. CORS beperkt de toegang van webpagina's tot middelen die buiten hun eigen domeinnaam liggen, tenzij er expliciet toestemming is verleend door de eigenaar van het domein waar de bronnen zich bevinden.

Webapplicaties gebruiken CORS-headers om te communiceren met browsers en te bepalen welke bronnen toegankelijk zijn voor andere domeinen. CORS headers bevatten instructies over welke domeinen toegang hebben tot de bronnen en welke soorten verzoeken zijn toegestaan.

Een onjuiste configuratie van CORS kan resulteren in kwetsbaarheden zoals Cross-Site Scripting (XSS) of Cross-Site Request Forgery (CSRF), waarbij aanvallers via een kwetsbare website toegang kunnen krijgen tot gevoelige gegevens van andere websites.