Appel d'une API en utilisant CORS

CORS (Cross Origin Resource Sharing) est une technique qui permet d'effectuer des appels à partir d'un code qui s'exécute dans un navigateur vers un serveur tiers (comme des API s'exécutant sur un serveur). Par défaut, ces appels ne sont pas autorisés conformément à la même stratégie de sécurité d'origine appliquée au bac à sable du navigateur. Sans le support CORS, les développeurs Web doivent utiliser des techniques plus complexes, telles que des proxys côté serveur.

A propos de cette tâche

Remarque: La prise en charge de CORS est disponible uniquement sur le DataPower® API Gateway.

Les serveurs Gateway prennent en charge CORS pour faciliter l'utilisation des API par les développeurs Web dans leurs applications Web.

CORS est pris en charge dans les navigateurs suivants :

Chrome 3+
Firefox 3.5+
Internet Explorer V11 ou version ultérieure
Opera 12+
Safari 4+

Un navigateur utilisant CORS envoie automatiquement une demande CORS simple, se composant de la demande d'origine à laquelle est ajouté l'en-tête Origin, ou d'une demande avant activation suivie d'une demande CORS simple.

Voici un exemple de demande avant activation CORS :

OPTIONS /org/env/api/resourceHTTP/1.1
User-Agent: useragent details
Access-Control-Request-Method: GET
Access-Control-Request-Headers: header names
Host: x.xx.xxx.xx
Origin: https://example.com
Accept: */*

Vous n'avez pas besoin de créer des demandes CORS vous-même, sauf à des fins de test ou de résolution des problèmes.

Une réponse COR est reçue de la passerelle. Exemple :

HTTP/1.1 200 OK
X-Backside-Transport: FAIL FAIL 
Connection: Keep-Alive
Transfer-Encoding: chunked
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers:accept, accept-language, content-type, x-ibm-client-id
Access-Control-Allow-Methods: methods allowed on the resource
Vary: Origin