CORS eller Cross-Origin Resource Sharing representerer en mekanisme som bruker ekstra HTTP-hoder for å gi en nettlesertillatelse til å få tilgang til ressurser fra en server fra en annen opprinnelse. Det gir en sikker måte å dele ressurser med ulik opprinnelse. Å håndtere CORS i PHP kan imidlertid være litt vanskelig og ha implikasjoner for sikkerheten, så det krever riktig ekspertise.
En metode for å løse headers CORS-opprinnelsesproblem i PHP er ved å legge til en header til svaret som spesifikt lar det ønskede domenet eller alle domenene sende HTTP-forespørsler til serveren din.
For å illustrere, tenk på følgende enkle scenario: du har utviklet et API som du vil ha tilgang til fra et annet domene enn det det er plassert. Det er klart at nettlesersikkerheten vår flagger det som en sikkerhetsrisiko, og i slike tilfeller må du ta kontroll.
Følgende kodebit viser hvordan du går videre med dette:
Håndtering av CORS i PHP
Å ta kontroll over hvem som får tilgang til ressursene dine innebærer å sette opp noen få overskrifter spesifikt for å tillate visse typer forespørsler fra bestemte opphav. I PHP settes disse ved hjelp av 'header'-funksjonen.
Forespørsler før flyreise
Det er også tilfeller der nettleseren sender en forhåndsforespørsel til serveren for å sjekke om CORS faktisk håndheves. Dette skjer med forespørsler med metodene 'DELETE', 'PUT' eller 'PATCH'. Det som er viktig å huske her er at serveren må svare på forhåndsforespørslene riktig og godta den faktiske forespørselen.
