Esta página se tradujo automáticamente con la API de traducción de Google Cloud.
Algunas páginas se pueden leer mejor en su totalidad.
Kotlin y CORS: una guía para compartir recursos entre orígenes
El intercambio de recursos de origen cruzado (CORS) es un mecanismo que permite que los recursos restringidos en una página web se soliciten desde otro dominio fuera del dominio desde el que se sirvió el primer recurso. Una página web puede incrustar libremente imágenes, hojas de estilo, scripts, iframes y videos de origen cruzado.
El mecanismo CORS funciona agregando encabezados HTTP a solicitudes y respuestas HTTP entre dominios.
Cuando un navegador envía una solicitud a un servidor, el navegador incluye un encabezado de origen. Este encabezado indica el dominio de la página que está realizando la solicitud.
Luego, el servidor puede optar por permitir o denegar la solicitud, según el valor del encabezado de origen.
Si el servidor permite la solicitud, incluirá los siguientes encabezados en la respuesta:
Si el servidor no permite la solicitud, devolverá un error.
El mecanismo CORS proporciona una forma para que las aplicaciones basadas en navegador realicen solicitudes de origen cruzado sin dejar de respetar la política del mismo origen.
La política del mismo origen es una medida de seguridad diseñada para evitar solicitudes de origen cruzado. Sin embargo, existen muchos usos legítimos para las solicitudes de origen cruzado, como realizar una solicitud a un dominio diferente para recuperar datos o utilizar un servicio de terceros.
CORS proporciona una forma de permitir este tipo de solicitudes de origen cruzado y al mismo tiempo brinda cierta protección contra solicitudes maliciosas.
Estos son algunos ejemplos de cómo se puede usar CORS:
CORS no es una solución perfecta. La mayor limitación es que no es compatible con todos los navegadores.
Además, las solicitudes malintencionadas pueden eludir CORS. Por ejemplo, una solicitud malintencionada puede usar el objeto XMLHttpRequest para realizar una solicitud de origen cruzado sin los encabezados CORS.
Si desea utilizar CORS, debe configurar un servidor que admita CORS.
configurar un servidor está más allá del alcance de este artículo, pero puede encontrar más información en la sección de recursos a continuación.
Una vez que tenga un servidor habilitado para CORS, puede realizar solicitudes de origen cruzado utilizando las API XMLHttpRequest o Fetch.
Una solicitud de verificación previa es una solicitud HTTP que se envía antes de una solicitud de origen cruzado. La solicitud de verificación previa se utiliza para determinar si es seguro enviar la solicitud de origen cruzado.
La solicitud de verificación previa se envía con los siguientes encabezados:
Luego, el servidor puede optar por permitir o denegar la solicitud, según los valores de estos encabezados.
Si el servidor permite la solicitud, incluirá los siguientes encabezados en la respuesta:
Si el servidor no permite la solicitud, devolverá un error.
Una solicitud de verificación previa es una solicitud HTTP que se envía antes de una solicitud de origen cruzado. La solicitud de verificación previa se utiliza para determinar si es seguro enviar la solicitud de origen cruzado.
La solicitud de verificación previa se envía con los siguientes encabezados:
Luego, el servidor puede optar por permitir o denegar la solicitud, según los valores de estos encabezados.
Si el servidor permite la solicitud, incluirá los siguientes encabezados en la respuesta:
Si el servidor no permite la solicitud, devolverá un error.
Estos son algunos consejos para usar CORS:
CORS es un mecanismo que permite solicitar recursos restringidos en una página web desde otro dominio fuera del dominio desde el cual se sirvió el primer recurso. Una página web puede incrustar libremente imágenes, hojas de estilo, scripts, iframes y videos de origen cruzado.
El mecanismo CORS funciona agregando encabezados HTTP a solicitudes y respuestas HTTP entre dominios.
Cuando un navegador envía una solicitud a un servidor, el navegador incluye un encabezado de origen. Este encabezado indica el dominio de la página que está realizando la solicitud.
Luego, el servidor puede optar por permitir o denegar la solicitud, según el valor del encabezado de origen.
Si el servidor permite la solicitud, incluirá los siguientes encabezados en la respuesta: Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers y Access-Control-Expose-Headers.
Si el servidor no permite la solicitud, devolverá un error.
El mecanismo CORS proporciona una forma para que las aplicaciones basadas en navegador realicen solicitudes de origen cruzado sin dejar de respetar la política del mismo origen.
La política del mismo origen es una medida de seguridad diseñada para evitar solicitudes de origen cruzado. Sin embargo, existen muchos usos legítimos para las solicitudes de origen cruzado, como realizar una solicitud a un dominio diferente para recuperar datos o utilizar un servicio de terceros.
CORS proporciona una forma de permitir este tipo de solicitudes de origen cruzado y al mismo tiempo brinda cierta protección contra solicitudes maliciosas.
Si desea utilizar CORS, debe configurar un servidor que admita CORS. configurar un servidor está más allá del alcance de este artículo, pero puede encontrar más información en la sección de recursos a continuación.
Una vez que tenga un servidor habilitado para CORS, puede realizar solicitudes de origen cruzado utilizando las API XMLHttpRequest o Fetch.
Una solicitud de verificación previa es una solicitud HTTP que se envía antes de una solicitud de origen cruzado. La solicitud de verificación previa se utiliza para determinar si es seguro enviar la solicitud de origen cruzado.
La solicitud de verificación previa se envía con los siguientes encabezados: Origen, Access-Control-Request-Method y Access-Control-Request-Headers.
Luego, el servidor puede optar por permitir o denegar la solicitud, según los valores de estos encabezados.
Si el servidor permite la solicitud, incluirá los siguientes encabezados en la respuesta: Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers y Access-Control-Max-Age.
Si el servidor no permite la solicitud, devolverá un error.
Estos son algunos consejos para usar CORS: