Cross-Origin Resource Sharing (CORS) adalah mekanisme di web yang memungkinkan server memberi izin kepada halaman web di domain yang berbeda (origin) untuk mengakses sumber daya, seperti gambar, script, font, atau data lain yang disimpan di server. Ini merupakan bagian penting dalam menjaga keamanan peramban web, karena mengontrol bagaimana halaman web di satu domain dapat berinteraksi dengan sumber daya di domain lain.

Tanpa mekanisme CORS, peramban web akan menerapkan kebijakan yang disebut Same-Origin Policy, yang menghalangi permintaan lintas domain untuk mengakses sumber daya dari domain lain. CORS memungkinkan server untuk menentukan dengan tepat domain mana yang diperbolehkan atau dilarang mengakses sumber daya tertentu.

Ini dilakukan dengan menambahkan header HTTP yang disebut "Access-Control-Allow-Origin" dalam respons HTTP dari server. Header ini menunjukkan domain yang diizinkan untuk mengakses sumber daya. Misalnya, server dapat mengatur header "Access-Control-Allow-Origin: https://domain-anda.com" sehingga sumber daya tersebut hanya dapat diakses oleh halaman web di "https://domain-anda.com".

CORS adalah alat yang sangat penting dalam pengembangan web modern, karena memungkinkan aplikasi web untuk berinteraksi dengan berbagai sumber daya dari berbagai domain, seperti mengambil data dari layanan web pihak ketiga atau menyematkan konten dari sumber daya eksternal. Ini membantu dalam menghadirkan pengalaman web yang lebih dinamis dan kaya kepada pengguna tanpa mengorbankan keamanan peramban.

Cross-Origin Resource Sharing (CORS) membantu meningkatkan keamanan peramban web dengan membatasi akses lintas domain ke sumber daya di situs web. Manfaat utama dari CORS untuk keamanan adalah:

1. Kontrol Akses: CORS memungkinkan server web untuk secara eksplisit menentukan domain mana yang diizinkan atau dilarang untuk mengakses sumber daya tertentu. Dengan kata lain, hanya domain yang diotorisasi dapat meminta dan mengambil sumber daya dari server. Ini mengurangi risiko akses tidak sah dan pengambilan data oleh domain yang tidak terkait.

2. Perlindungan Cookie: Saat Anda meminta sumber daya dari domain lain melalui peramban, permintaan termasuk informasi cookie dari domain asal. Dengan CORS, server dapat memastikan bahwa informasi cookie tidak disalahgunakan oleh domain yang tidak sah. Hal ini mengurangi risiko kerentanannya terhadap serangan terhadap cookie dan penipuan sesi.

3. Perlindungan CSRF (Cross-Site Request Forgery): Menggunakan CORS dapat membantu mencegah serangan CSRF. Server dapat memeriksa asal permintaan dan memastikan bahwa itu berasal dari domain yang diizinkan. Ini mengurangi risiko penipuan otentikasi dan aksi yang dilakukan atas nama pengguna yang sah.

4. Isolasi Sumber Daya: Dengan CORS, sumber daya di server dapat diisolasi dari domain yang tidak berkepentingan. Ini membantu melindungi sumber daya sensitif dan data dari akses yang tidak sah.

5. Kontrol Lebih Lanjut: Server memiliki kontrol penuh atas izin akses lintas domain. Itu berarti administrator server dapat mengubah konfigurasi CORS sesuai dengan kebutuhan keamanan yang berubah seiring waktu.

Meskipun CORS membantu meningkatkan keamanan, pengembang dan administrator server perlu memastikan bahwa konfigurasi CORS diatur dengan benar untuk meminimalkan risiko akses tidak sah dan mematuhi praktik keamanan terbaik.

Sumber: https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS