En HTML5, certains des éléments HTML supportant le CORS (Cross-Origin Resource Sharing) comme les éléments <img>, <video> ou <script>, ont un attribut crossorigin (propriété crossOrigin), qui permet de configurer les requêtes CORS pour les données de l'élément à renvoyer. Ces attributs sont listés ci-après avec les valeurs qu'ils peuvent avoir :
| Mot-clé | Description |
anonymous |
Les requêtes CORS pour cet élément auront la balise de certificat vide. |
use-credentials |
Les requêtes CORS pour cet élément auront la balise de certificat remplie. Cela signifie que la requête fournira un certificat. |
Par défaut (quand l'attribut n'est pas spécifié), le CORS n'est pas du tout utilisé. Le mot-clé « anonymous » signifie qu'il n'y aura ni échange de certificat utilisateur via des cookies, ni des certificats SSL côté client ou des authentifications HTTP comme détaillé dans la section terminologique de la spécification CORS.
Un mot-clé invalide ou une chaîne de caractères vide seront interprétés comme le mot-clé anonymous.
Exemple : utiliser crossorigin avec l'élément script
On peut utiliser l'élément <script> afin d'indiquer au navigateur d'exécuter un script (ici, https://exemple.com/framework-exemple.js) sans envoyer les informations d'authentification de l'utilisateur.
<script src="https://exemple.com/framework-exemple.js"
crossorigin="anonymous">
</script>
Spécifications
| Spécification | État | Commentaires |
|---|---|---|
| HTML Living Standard La définition de 'CORS settings attributes' dans cette spécification. |
Standard évolutif | |
| HTML Living Standard La définition de 'crossorigin' dans cette spécification. |
Standard évolutif |
Compatibilité du navigateur
L'attribut crossorigin pour <script>
| Ordinateur | Mobile | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Chrome | Edge | Firefox | Internet Explorer | Opera | Safari | Webview Android | Chrome pour Android | Edge Mobile | Firefox pour Android | Opera pour Android | Safari pour iOS | Samsung Internet | |
| Support simple | Chrome Support complet 30 | Edge Support complet Oui | Firefox Support complet 13 | IE Aucun support Non | Opera Support complet 12 | Safari
Support complet
Oui
| WebView Android Support complet Oui | Chrome Android Support complet Oui | Edge Mobile ? | Firefox Android Support complet 14 | Opera Android ? | Safari iOS ? | Samsung Internet Android Support complet Oui |
Légende
- Support complet
- Support complet
- Aucun support
- Aucun support
- Compatibilité inconnue
- Compatibilité inconnue
- Voir les notes d'implémentation.
- Voir les notes d'implémentation.
L'attribut crossorigin pour <video>
| Ordinateur | Mobile | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Chrome | Edge | Firefox | Internet Explorer | Opera | Safari | Webview Android | Chrome pour Android | Edge Mobile | Firefox pour Android | Opera pour Android | Safari pour iOS | Samsung Internet | |
| Support simple | Chrome ? | Edge Support complet Oui | Firefox Support complet 12 | IE ? | Opera ? | Safari ? | WebView Android ? | Chrome Android ? | Edge Mobile Support complet Oui | Firefox Android Support complet 14 | Opera Android ? | Safari iOS ? | Samsung Internet Android ? |
Légende
- Support complet
- Support complet
- Compatibilité inconnue
- Compatibilité inconnue