Cross Origin Resource Sharing
Normaler Weise verhindern HTTP-Browser den automatisierten Zugriff auf Webseiten außerhalb der Domain der geladenen Webseite. Die soganannte SOP soll CSRF-Angriffe verhindern. Da das aber für die Web-API-basierte Programmierung unpraktisch ist, keine Dienste für fremde Domains anbieten zu können, hat man mit CORS ab dem Jahre 2014 einen Mechanismus eingeführt, welcher eine sichere Ausweitung der erlaubten Zugriffe ermöglicht. Der Browser schickt im HTTP-Header des Request die Herkunftsdomain der abfragenden Webseite mit. Der Server entscheidet, ob er den Zugriff zulässt. Vor schreibenden Zugriffen sind gegebenenfalls Vorabfragen per HTTP OPTIONS notwendig, um keine Daten zu verlieren.