Tous les navigateurs modernes prennent en charge CORS et désormais nous devrions tirer parti de cette addition.
Il fonctionne sur la technique de prise de contact simples étaient les 2 domaines qui communiquent la confiance entre eux par des en-têtes HTTP envoyés/reçus. Cela était attendu depuis longtemps car la même politique d'origine était nécessaire pour éviter XSS et d'autres tentatives malveillantes.
Pour lancer une requête croisée d'origine, un navigateur envoie la requête avec un en-tête HTTP d'origine. La valeur de cet en-tête est le site qui a servi la page. Par exemple, supposons qu'une page sur http://www.example-social-network.com tente d'accéder aux données d'un utilisateur dans online-personal-calendar.com. Si implémente CORS, l'en-tête de la demande suivante du navigateur de l'utilisateur sera envoyé:
Origine: http://www.example-social-network.com
Si online-personal-calendar.com permet la demande, il envoie un en-tête Access-Control-Allow-Origin sa réponse. La valeur de l'en-tête indique quels sites d'origine sont autorisés. Par exemple, une réponse à la demande précédente contiendrait les éléments suivants:
Access-Control-Allow-origine: http://www.example-social-network.com
Si le serveur ne permet pas à la demande croisée d'origine, le navigateur livrera une erreur page exemple-social-network.com au lieu de la réponse online-personal-calendar.com.
Pour autoriser l'accès à toutes les pages, un serveur peut envoyer l'en-tête de réponse suivante:
Access-Control-Allow-origine: *
Cependant, cela pourrait ne pas convenir à des situations dans lesquelles la sécurité est une préoccupation.
très bien expliqué ici en page ci-dessous wiki. http://en.wikipedia.org/wiki/Cross-origin_resource_sharing
Probablement pas. Ce sont deux noms de domaine différents, de sorte que la requête inter-domaines est ainsi bloquée par les navigateurs. –