CORS neboli Cross-Origin Resource Sharing představuje mechanismus, který používá další HTTP hlavičky k udělení oprávnění prohlížeče pro přístup ke zdrojům ze serveru v jiném původu. Poskytuje bezpečný způsob sdílení zdrojů s různými původy. Manipulace s CORS v PHP však může být trochu složitější a má důsledky pro bezpečnost, takže vyžaduje správné odborné znalosti.
Jednou z metod řešení problému původu CORS hlaviček v PHP je přidání hlavičky k odpovědi, která konkrétně umožňuje požadované doméně nebo všem doménám odesílat požadavky HTTP na váš server.
Pro ilustraci zvažte následující jednoduchý scénář: máte vyvinuté rozhraní API, ke kterému chcete přistupovat z jiné domény, než ve které se nachází. Naše zabezpečení prohlížeče to samozřejmě označuje jako bezpečnostní riziko a v takových případech musíte převzít kontrolu.
Následující fragment kódu ukazuje, jak s tím pokračovat:
Manipulace s CORS v PHP
Převzetí kontroly nad tím, kdo přistupuje k vašim zdrojům, zahrnuje nastavení několika hlaviček, které umožňují určité typy požadavků z určitých zdrojů. V PHP se nastavují pomocí funkce `header`.
Předletové požadavky
Existují také případy, kdy prohlížeč odešle na server požadavek na kontrolu před výstupem, aby zkontroloval, zda je CORS skutečně vynucován. K tomu dochází u požadavků s metodami 'DELETE', 'PUT' nebo 'PATCH'. Zde je důležité si zapamatovat, že server musí správně reagovat na požadavky před výstupem a přijmout skutečný požadavek.
