🌐 django-cors-headers – CORS pour Django (Install, Config, Sécurité)

1.1 — CORS : le vrai problème que ça résout

Same-Origin Policy (SOP) : le “mur” navigateur

Par défaut, un script JavaScript exécuté sur https://app.example.com n’a pas le droit de lire la réponse d’une requête faite vers https://api.example.com (origine différente). C’est la Same-Origin Policy.

Origine = scheme + host + port
Ex: https://site.com ≠ http://site.com ≠ https://site.com:8443

CORS : une permission contrôlée par des headers

CORS est un mécanisme standard du web où le serveur indique au navigateur “tu peux autoriser ce JavaScript à lire cette réponse”. Le navigateur envoie un header Origin et le serveur répond avec des headers Access-Control-Allow-*.

Headers qui comptent le plus

Header	Rôle	Remarque
`Origin`	Envoyé par le navigateur (source de la page)	Présent surtout sur requêtes “CORS”.
`Access-Control-Allow-Origin`	Autorise une origine (ou refuse)	Jamais `*` si `credentials`.
`Access-Control-Allow-Credentials`	Autorise cookies / auth HTTP	Doit être `true` + origine explicite.
`Access-Control-Allow-Headers`	Autorise headers non “simples”	Ex: `Authorization`, `X-Request-ID`.
`Access-Control-Allow-Methods`	Autorise méthodes HTTP	Important sur préflight.

Point clé : CORS n’est pas une auth

CORS ne “protège” pas vos endpoints contre un attaquant. Il contrôle seulement si le navigateur laisse un script lire la réponse. Un attaquant peut toujours appeler votre API depuis un serveur (curl, scripts) sans CORS.

Quand tu as besoin de django-cors-headers ?

Ton frontend (React/Vue/Angular) est sur un autre domaine/port que ton backend Django.
Tu utilises un API Gateway / domaine api.* séparé.
Tu sers l’API sur localhost:8000 et le frontend sur localhost:5173.
Tu as un backoffice / admin séparé d’un front grand public.

À l’inverse : si ton frontend est rendu par Django (templates) sur la même origine, tu n’as souvent pas besoin de CORS.

Le piège n°1 : “ça marche avec Postman”

Postman / curl ne sont pas soumis à la Same-Origin Policy. Donc l’API “répond” mais le navigateur bloque la lecture. Résultat : console “CORS error” alors que le backend fonctionne.

Le piège n°2 : préflight invisible

Tu vois ton POST échouer mais la vraie erreur est souvent sur le OPTIONS envoyé juste avant. Regarde dans DevTools → Network → requête OPTIONS.

Ressources de référence

- Page PyPI (description) : pypi.org/project/django-cors-headers
- Repo GitHub : github.com/adamchainz/django-cors-headers
- README (raw) : README.rst

Règle d’or Origines explicites Cookies = vigilance

1.2 — Architecture : le “flow” CORS de bout en bout

Schéma mental

[Frontend SPA] --fetch/axios--> [Navigateur]
        |                              |
        | (Origin: https://app...)      |  (applique SOP + CORS)
        |------------------------------>|
                                       |---- HTTP ----> [Django API]
                                       |               (répond avec Access-Control-*)
                                       |<--- HTTP -----|
        |<------ JS reçoit réponse si CORS OK ---------|

CORS est un contrat entre le navigateur et le serveur. Le backend “autorise” via headers, et le navigateur “fait respecter”.

Important : si tu testes depuis un serveur (SSR, backend-to-backend), la SOP ne s’applique pas. C’est pour cela qu’on “voit” les erreurs seulement côté browser.

Simple request (pas de préflight)

Le navigateur peut envoyer directement la requête si elle respecte des critères “simples” (méthode, headers, content-type). Dans le doute, retiens surtout : JSON + headers custom déclenchent souvent un préflight.

GET https://api.example.com/v1/items
Origin: https://app.example.com

HTTP/200
Access-Control-Allow-Origin: https://app.example.com

Préflight (OPTIONS) : quand le navigateur “demande permission”

OPTIONS /v1/items HTTP/1.1
Origin: https://app.example.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: content-type, authorization

HTTP/204
Access-Control-Allow-Origin: https://app.example.com
Access-Control-Allow-Methods: GET, POST, PUT, PATCH, DELETE, OPTIONS
Access-Control-Allow-Headers: content-type, authorization
Access-Control-Max-Age: 86400

# Ensuite seulement, le navigateur envoie le POST réel.

Si le OPTIONS échoue (403, 500, manque de headers), ton POST ne partira même pas.

Position du middleware

django-cors-headers s’insère comme middleware Django : il inspecte Origin et ajoute les headers CORS sur la réponse. Il gère aussi correctement les réponses de préflight.

Ordre essentiel : le middleware CORS doit être placé le plus haut possible (au minimum avant CommonMiddleware), afin que les réponses (y compris erreurs) soient “corsifiées”. 

Pourquoi “avant CommonMiddleware” ?

CommonMiddleware peut répondre tôt (redirect slash, etc.).
Si la réponse part sans headers CORS, le navigateur bloquera, et tu verras un “CORS error” au lieu du vrai statut.

2.1 — Installation + intégration Django (propre)

pip

# Dans ton venv
pip install django-cors-headers

# (Optionnel) pin version dans requirements
pip freeze | grep cors

Source : PyPI / repo officiel. 

settings.py : INSTALLED_APPS + MIDDLEWARE

INSTALLED_APPS = [
    # ...
    "corsheaders",
    # ...
]

MIDDLEWARE = [
    "corsheaders.middleware.CorsMiddleware",
    "django.middleware.common.CommonMiddleware",  # CORS doit être avant CommonMiddleware
    # ...
]

Tip : place CorsMiddleware très haut pour que même les réponses d’erreur (403/404/500) aient les bons headers CORS.

DRF / API-only

Ça marche pareil. Le point clé est l’ordre du middleware et la liste des origines.

Test rapide (curl)

curl -i https://api.example.com/health \
  -H "Origin: https://app.example.com"

Tu dois voir dans la réponse :

Access-Control-Allow-Origin: https://app.example.com

Test préflight

curl -i -X OPTIONS https://api.example.com/v1/items \
  -H "Origin: https://app.example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: content-type, authorization"

Si tu ne vois pas Access-Control-Allow-Methods / Allow-Headers, ta config est incomplète (ou le middleware trop bas).

Quickstart — configs prêtes à coller (dev & prod)

Config DEV (rapide, contrôlée)

Objectif : autoriser uniquement ton front local (Vite/Next) + éventuellement un domaine de staging.

# settings_dev.py

INSTALLED_APPS += ["corsheaders"]

MIDDLEWARE = ["corsheaders.middleware.CorsMiddleware"] + MIDDLEWARE

CORS_ALLOWED_ORIGINS = [
    "http://localhost:5173",   # Vite
    "http://localhost:3000",   # Next.js/React dev
]

# Souvent utile quand tu as Authorization: Bearer ...
CORS_ALLOW_HEADERS = [
    "accept",
    "authorization",
    "content-type",
    "origin",
    "user-agent",
    "x-csrftoken",
    "x-requested-with",
    "x-request-id",
]

# Si tu utilises cookies de session en dev (rare pour API token)
CORS_ALLOW_CREDENTIALS = True

DEV : évite CORS_ALLOW_ALL_ORIGINS=True sauf pour un POC très court. Ça masque des erreurs et t’emmène vers une config prod dangereuse.

Config PROD (restrictive, robuste)

Objectif : autoriser précisément tes origines frontend, gérer credentials si besoin, et expliciter ce qui est exposé.

# settings_prod.py

INSTALLED_APPS += ["corsheaders"]
MIDDLEWARE = ["corsheaders.middleware.CorsMiddleware"] + MIDDLEWARE

CORS_ALLOWED_ORIGINS = [
    "https://app.example.com",
    "https://admin.example.com",
]

# Autoriser cookies / auth HTTP seulement si nécessaire
CORS_ALLOW_CREDENTIALS = True

# Headers que le browser est autorisé à envoyer
CORS_ALLOW_HEADERS = [
    "accept",
    "authorization",
    "content-type",
    "origin",
    "user-agent",
    "x-csrftoken",
    "x-requested-with",
    "x-request-id",
]

# Headers que le browser a le droit de lire côté JS
CORS_EXPOSE_HEADERS = [
    "content-disposition",  # download filename
    "x-request-id",         # corr_id
]

# Cache preflight (perf)
CORS_PREFLIGHT_MAX_AGE = 86400  # 24h

Règle : si CORS_ALLOW_CREDENTIALS=True, le serveur doit répondre avec une origine explicite, jamais *.

3.1 — Settings : le vrai “panneau de contrôle” CORS

Origines : liste ou regex

Tu choisis qui a le droit de lire ta réponse côté navigateur.

Setting	But	Exemple
`CORS_ALLOWED_ORIGINS`	Liste explicite d’origines autorisées	`["https://app.example.com"]`
`CORS_ALLOWED_ORIGIN_REGEXES`	Autoriser dynamiquement (preview env, sous-domaines)	`[r"^https://.*\.preview\.example\.com$"]`
`CORS_ALLOW_ALL_ORIGINS`	Autoriser toutes les origines (dangereux)	`True` (à éviter en prod)

# Exemple “preview deployments” (Netlify/Vercel-like)
CORS_ALLOWED_ORIGIN_REGEXES = [
  r"^https://[a-z0-9-]+--app\.example\.pages\.dev$",
  r"^https://pr-\d+\.preview\.example\.com$",
]

Anti‑pattern : autoriser des regex trop larges (ex: .*) revient à un allow‑all déguisé.

Méthodes & headers (préflight)

Le préflight vérifie si le browser peut envoyer certaines méthodes/headers. Si tu utilises Authorization, assure-toi qu’il est autorisé.

# Autoriser des méthodes (souvent inutile de surcharger)
CORS_ALLOW_METHODS = ["GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS"]

# Autoriser des headers custom (la liste ci-dessous est un bon “baseline”)
CORS_ALLOW_HEADERS = [
  "accept",
  "authorization",
  "content-type",
  "origin",
  "user-agent",
  "x-csrftoken",
  "x-requested-with",
  "x-request-id",
]

Exposer des headers au JS

CORS_EXPOSE_HEADERS = [
  "content-disposition",  # download
  "x-request-id",         # corr_id
  "x-rate-limit-remaining"
]

Si tu ne “exposes” pas un header, il est visible dans DevTools mais inaccessible en JS via response.headers.get().

Credentials (cookies / auth) : le point “dangereux”

CORS_ALLOW_CREDENTIALS permet au navigateur d’envoyer des cookies et d’exposer la réponse au JS quand le frontend appelle l’API avec credentials: "include" (fetch) ou withCredentials: true (axios).

# Django
CORS_ALLOW_CREDENTIALS = True

# fetch (frontend)
fetch("https://api.example.com/v1/me", {
  method: "GET",
  credentials: "include",
})

# axios (frontend)
axios.get("https://api.example.com/v1/me", { withCredentials: true })

Interdit : Access-Control-Allow-Origin: * + Access-Control-Allow-Credentials: true. Les navigateurs refusent par design. Et c’est une mauvaise idée sécurité.

Cookies & SameSite (rappel)

Si tu relies CORS à des cookies de session, tu dois aussi gérer SameSite / Secure côté cookie. Sinon “ça marche en local” mais pas en HTTPS / cross-site.

Scopes / exclusions / hooks

Tu peux exclure des URLs (ex: admin) ou appliquer une logique plus fine via signaux. (Typiquement : autoriser certains origins uniquement pour certains chemins).

# Exemple de pattern (si disponible selon version):
# CORS_URLS_REGEX = r"^/api/.*$"

# Et pour des cas avancés, regarder le repo (signals / configuration).

Pour les options avancées exactes, réfère-toi au README officiel (settings list) :  README.rst

3.2 — Préflight : logique, erreurs, performance

Quand un préflight est déclenché ?

Le navigateur déclenche souvent un OPTIONS avant la requête “réelle” quand :

Méthode ≠ GET/HEAD/POST “simple” (PUT/PATCH/DELETE…)
Content-Type non “simple” (souvent application/json)
Headers custom (ex: Authorization, X-Request-ID)

Conséquence : sur une API très chattée, les préflights peuvent doubler le nombre de requêtes. D’où l’intérêt de CORS_PREFLIGHT_MAX_AGE (cache).

Cache preflight

# Django
CORS_PREFLIGHT_MAX_AGE = 86400

Ce paramètre se traduit en Access-Control-Max-Age. Attention : certains navigateurs imposent des plafonds.

Préflight qui échoue : symptômes typiques

Symptôme	Cause fréquente	Fix
Console “CORS policy…” et ton POST n’apparaît pas	OPTIONS 403/404/500	Mettre le middleware plus haut + autoriser headers/methods
OPTIONS 301/302	Redirect slash / http→https	CORS middleware avant CommonMiddleware + corriger URL
OPTIONS 405 Method not allowed	Endpoint ne gère pas OPTIONS	Middleware CORS doit répondre / config DRF
OK en dev, KO en prod	Nginx supprime headers / cache / CDN	Inspecter headers au niveau final (curl -I)

Reproduire un préflight en curl

curl -i -X OPTIONS https://api.example.com/v1/items \
  -H "Origin: https://app.example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: content-type, authorization, x-request-id"

4.1 — Sécurité : CORS vs Auth vs CSRF (ne pas confondre)

Clarification ultra importante

Concept	Protège quoi ?	Où ?
CORS	Empêche un script browser non autorisé de lire la réponse	Navigateur (SOP)
AuthN/AuthZ	Contrôle l’accès aux ressources	Serveur (Django)
CSRF	Empêche des actions non voulues via cookies (forgery)	Navigateur + serveur

Donc : “Activer CORS” ne rend pas ton API sûre. Ton API doit être sécurisée par authentification (JWT, session, API keys, OAuth...) + autorisations.

Pièges sécurité (top)

ALLOW_ALL en prod : expose ton API au JS de n’importe quel site (mauvais signe).
Cookies + CORS mal réglé : fuite de session potentielle, confusion avec SameSite.
Origines trop larges : regex permissive = attaque par sous-domaine contrôlé.
“CORS = firewall” : faux. Les requêtes serveur‑à‑serveur passent.
Réponses d’erreur sans CORS : tu débogues à l’aveugle (CORS error masque le vrai code).

Le cas “cookies cross-site” (le plus risqué)

Si ton API utilise session cookies, un navigateur peut envoyer ces cookies automatiquement sur des requêtes cross-site selon la politique SameSite/secure. CORS intervient seulement pour la lecture de la réponse par le script.

Recommandation moderne : pour SPA séparée, préfère souvent JWT (Authorization header) ou OAuth, plutôt que session cookies cross-site, sauf si tu maîtrises très bien CSRF + SameSite + domaines.

Checklist “safe-ish” si cookies nécessaires

Origines explicitement listées (pas de wildcard)
CORS_ALLOW_CREDENTIALS=True
CSRF_TRUSTED_ORIGINS configuré (si POST authentifiés via cookie)
Cookies marqués Secure en HTTPS
SameSite ajusté selon architecture

Rappel : “CORS error” ≠ sécurité compromise

Un “CORS error” indique le plus souvent une configuration manquante ou trop restrictive. Ce n’est pas un “hack”, juste le browser qui applique SOP/CORS.

4.2 — DRF / JWT / Cookies : patterns qui marchent

Pattern recommandé : JWT via Authorization header

C’est souvent le plus simple (et le plus clean) pour une SPA séparée : le browser envoie Authorization: Bearer ... donc tu dois autoriser ce header côté CORS.

# settings.py
CORS_ALLOWED_ORIGINS = ["https://app.example.com"]
CORS_ALLOW_HEADERS = [
  "accept","authorization","content-type","origin","user-agent",
  "x-requested-with","x-request-id",
]

# frontend (fetch)
fetch("https://api.example.com/v1/private", {
  headers: { "Authorization": "Bearer " + token },
})

Si tu oublies authorization dans CORS_ALLOW_HEADERS, tu auras un préflight qui échoue.

Pattern cookies : utile, mais plus “touchy”

# settings.py
CORS_ALLOWED_ORIGINS = ["https://app.example.com"]
CORS_ALLOW_CREDENTIALS = True

# frontend
axios.get("https://api.example.com/v1/me", { withCredentials: true })

En plus, si tu utilises CSRF, configure aussi Django :

# (selon Django)
CSRF_TRUSTED_ORIGINS = ["https://app.example.com"]

Le couple “cookies cross-site + CSRF” peut devenir un sujet à part entière. Si tu veux un setup stable : documente-le et teste-le automatiquement (E2E).

DRF : points pratiques

Les vues DRF n’ont pas besoin de “gérer CORS” : c’est au middleware.
Si tu as un endpoint qui renvoie des fichiers (CSV/PDF), expose Content-Disposition.
Ajoute un X-Request-ID (corr_id) en reverse proxy/app, puis CORS_EXPOSE_HEADERS.

# Exposer Content-Disposition (downloads)
CORS_EXPOSE_HEADERS = ["content-disposition", "x-request-id"]

5.1 — Nginx / Reverse proxy : où gérer CORS ?

Recommandation générale

Mets CORS dans Django via django-cors-headers : la logique est proche de l’app, versionnée, testable, et cohérente avec les routes.

Tu peux mettre CORS au proxy si :

plusieurs apps derrière un gateway unique
tu veux normaliser / centraliser les headers
tu gères des préflights au niveau edge/CDN

Anti‑patterns courants

Doubles headers : Django ajoute, Nginx ajoute → incohérences.
Nginx répond au OPTIONS mais pas Django → ok en prod, KO en dev/staging.
Cache/CDN qui sert une réponse avec mauvais Access-Control-Allow-Origin.

Snippet Nginx (si tu centralises)

Exemple “minimal” (à adapter ; préfère une whitelist stricte).

# location /api/ {
#   if ($request_method = OPTIONS) {
#     add_header Access-Control-Allow-Origin "https://app.example.com" always;
#     add_header Access-Control-Allow-Methods "GET, POST, PUT, PATCH, DELETE, OPTIONS" always;
#     add_header Access-Control-Allow-Headers "Authorization, Content-Type, X-Request-ID" always;
#     add_header Access-Control-Max-Age 86400 always;
#     return 204;
#   }
#   add_header Access-Control-Allow-Origin "https://app.example.com" always;
#   add_header Access-Control-Allow-Credentials "true" always;
#   proxy_pass http://upstream_django;
# }

Attention : gérer CORS au proxy est facile en apparence, mais compliqué en cas de multi-origines (tu dois refléter dynamiquement l’Origin, et vérifier qu’elle est autorisée).

5.2 — Tests : comment prouver que CORS est OK (et le garder OK)

curl : la méthode “chirurgicale”

# 1) simple request
curl -i https://api.example.com/v1/ping \
  -H "Origin: https://app.example.com"

# 2) preflight
curl -i -X OPTIONS https://api.example.com/v1/items \
  -H "Origin: https://app.example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: content-type, authorization"

# 3) vérifier que l'origine refusée ne reçoit pas d'Allow-Origin
curl -i https://api.example.com/v1/ping \
  -H "Origin: https://evil.example"

Teste sur l’URL finale (celle qui passe par le proxy/CDN), sinon tu testes “le faux endroit”.

DevTools (Chrome/Firefox)

Network → filtrer “OPTIONS”
Cliquer la requête OPTIONS → vérifier Response Headers
Si 301/302 : vérifier redirect (slash, http→https)
Console : noter l’erreur exacte (souvent “blocked by CORS policy”)

Astuce : active “Preserve log” pour voir l’OPTIONS qui part juste avant le POST.

Tests Django / pytest (exemple minimal)

# tests/test_cors.py
import pytest

@pytest.mark.django_db
def test_cors_allows_known_origin(client, settings):
    settings.CORS_ALLOWED_ORIGINS = ["https://app.example.com"]

    resp = client.get("/v1/ping", HTTP_ORIGIN="https://app.example.com")
    assert resp.status_code in (200, 204)
    assert resp.headers.get("Access-Control-Allow-Origin") == "https://app.example.com"

@pytest.mark.django_db
def test_cors_blocks_unknown_origin(client, settings):
    settings.CORS_ALLOWED_ORIGINS = ["https://app.example.com"]

    resp = client.get("/v1/ping", HTTP_ORIGIN="https://evil.example")
    # Souvent: pas de header Allow-Origin => browser bloquera
    assert resp.headers.get("Access-Control-Allow-Origin") is None

L’objectif n’est pas de tester la lib, mais de verrouiller ta configuration dans le temps.

6.1 — Recettes de prod (patterns éprouvés)

Pattern A : API publique + backoffice privé

- API publique consommée par plusieurs frontends → liste d’origines
- Admin interne → origine séparée + credentials

CORS_ALLOWED_ORIGINS = [
  "https://app.example.com",
  "https://admin.example.com",
  "https://partner.example.com",
]
CORS_ALLOW_CREDENTIALS = True

Pattern B : multi-environnements (dev/staging/prod)

Bon plan : déclarer les origins par env, via variables.

# settings.py
import os

CORS_ALLOWED_ORIGINS = os.getenv("CORS_ALLOWED_ORIGINS","").split(",")
CORS_ALLOWED_ORIGINS = [o.strip() for o in CORS_ALLOWED_ORIGINS if o.strip()]

# .env
CORS_ALLOWED_ORIGINS=https://app.example.com,https://admin.example.com

Attention aux espaces et aux virgules. Logue la liste au démarrage en staging (pas en prod).

Pattern C : preview deployments

Ton frontend a des URLs temporaires, il faut une regex stricte et “safe”.

CORS_ALLOWED_ORIGIN_REGEXES = [
  r"^https://pr-\d+\.preview\.example\.com$",
]

Pattern D : downloads (CSV/PDF)

Si tu veux lire le nom de fichier côté JS : expose Content-Disposition.

CORS_EXPOSE_HEADERS = ["content-disposition"]

Pattern E : Observabilité

Ajoute X-Request-ID (corr_id) partout
Expose-le via CORS pour debug front
Logue l’Origin sur erreurs CORS (en staging)

CORS_EXPOSE_HEADERS = ["x-request-id"]

Troubleshooting — diagnostic rapide (12 erreurs fréquentes)

Arbre de décision (simple)

1) Est-ce que l’Origin envoyée est exactement celle que tu as whitelistée ? (scheme/port)
2) Est-ce que l’OPTIONS (préflight) répond 2xx/204 ?
3) Est-ce que les headers CORS existent sur la réponse finale (proxy/CDN inclus) ?
4) Est-ce que tu mélanges cookies/CSRF/credentials ?

Top erreurs & solutions

Erreur / symptôme	Cause	Fix
“No 'Access-Control-Allow-Origin' header…”	Origin non autorisée, middleware absent ou trop bas	Ajouter corsheaders + ordonner middleware + whitelist origin
Préflight 403	CSRF / auth bloque OPTIONS, ou view interdit	Middleware CORS haut + vérifier CSRF/permissions OPTIONS
Préflight 301/302	Redirect (slash, http→https)	Corriger URL + CORS avant CommonMiddleware
“Request header field authorization is not allowed…”	`Authorization` pas dans allow-headers	Ajouter `authorization` à `CORS_ALLOW_HEADERS`
“Credentials flag is true but Allow-Origin is *”	Wildcard + credentials	Origine explicite (pas `*`)
Ça marche en local, pas en prod	Nginx/CDN modifie headers, ou origin différente	curl sur URL finale + inspecter Response Headers
Deux frontends, un seul marche	Whitelist incomplète	Ajouter origin 2 + re‑tester préflight
Erreur seulement sur POST/PUT	Préflight déclenché uniquement sur ces méthodes	Tester OPTIONS et allow-headers/methods
Download : filename introuvable en JS	Header non exposé	`CORS_EXPOSE_HEADERS=["content-disposition"]`
Tout est ok sauf Safari (parfois)	Cache/preflight/détails navigateur	Réduire complexité, vérifier max-age, tester sans cache
Cookies non envoyés	Front n’utilise pas `credentials` ou cookie SameSite	credentials include + config cookies/CSRF
Réponses 404/500 “masquées”	Réponses d’erreur sans CORS	Remonter CorsMiddleware + corriger chaîne proxy

Commandes “debug pack”

# Voir juste les headers CORS
curl -s -D - https://api.example.com/v1/ping \
  -H "Origin: https://app.example.com" -o /dev/null | egrep -i "access-control|vary|origin"

# Préflight complet
curl -s -D - -X OPTIONS https://api.example.com/v1/items \
  -H "Origin: https://app.example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: content-type, authorization" -o /dev/null

Liens utiles (officiel + références)

Officiel (à privilégier)

PyPI : django-cors-headers
GitHub : repo officiel
README : README.rst
Changelog (sécurité, breaking changes) : CHANGELOG.rst

Lis le changelog : certaines versions corrigent des edge cases sécurité (schemes, etc.). 

Références “compréhension”

Guide Django CORS (2025) : StackHawk
freeCodeCamp (2025) : How to Enable CORS in Django

Outils pratiques

DevTools Network (Chrome/Firefox) : inspecter OPTIONS + headers
curl : reproduire préflight exactement
Tests Django/pytest : verrouiller la config

Niveau & complexité — quand CORS devient difficile

Échelle de difficulté (1 → 10)

Niveau	Situation	Complexité
2/10	SPA et API sur 2 origines fixes, tokens JWT	Whitelist + allow Authorization
4/10	Plusieurs frontends + downloads	Expose headers, tests de non‑régression
6/10	Preview deployments (origines dynamiques)	Regex stricte + risque sécurité
7/10	Cookies cross-site + CSRF	SameSite/CSRF trusted origins + E2E
8/10	CDN / cache / edge proxy + multi-apps	Headers cohérents + Vary: Origin
9/10	Multi-tenant (origines par client)	Validation stricte + stockage + audit

Ce qui rend CORS “galère”

Différences de scheme/port entre dev/staging/prod
Préflight masqué derrière des redirects
Headers supprimés par proxy/CDN
Credentials + cookies + CSRF (triple combo)
Regex trop permissives (sécurité)

Stratégie IDEO‑Lab : versionner la config, tester en CI, et avoir un “debug pack” curl + checklists.

Cheat‑sheet — prêt à coller (configs + commandes)

Baseline “API token” (recommandé)

INSTALLED_APPS += ["corsheaders"]
MIDDLEWARE = ["corsheaders.middleware.CorsMiddleware"] + MIDDLEWARE

CORS_ALLOWED_ORIGINS = [
  "https://app.example.com",
]

CORS_ALLOW_HEADERS = [
  "accept",
  "authorization",
  "content-type",
  "origin",
  "user-agent",
  "x-requested-with",
  "x-request-id",
]

CORS_EXPOSE_HEADERS = ["x-request-id"]
CORS_PREFLIGHT_MAX_AGE = 86400

Baseline “cookies”

CORS_ALLOWED_ORIGINS = ["https://app.example.com"]
CORS_ALLOW_CREDENTIALS = True
CORS_EXPOSE_HEADERS = ["x-request-id", "content-disposition"]
# + CSRF_TRUSTED_ORIGINS côté Django si besoin

curl pack

# Simple
curl -i https://api.example.com/v1/ping -H "Origin: https://app.example.com"

# Preflight (POST + Authorization)
curl -i -X OPTIONS https://api.example.com/v1/items \
  -H "Origin: https://app.example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: content-type, authorization, x-request-id"

# Grep headers CORS
curl -s -D - https://api.example.com/v1/ping \
  -H "Origin: https://app.example.com" -o /dev/null | egrep -i "access-control|vary|origin"

Checklist DEV

Whitelist exacte : scheme + port (ex: http://localhost:5173)
authorization autorisé si JWT
Préflight OPTIONS visible dans Network
Middleware CORS avant CommonMiddleware

Checklist PROD

Pas de ALLOW_ALL
Origines explicitement listées (ou regex très stricte)
Si credentials : origine explicite + tests E2E
curl sur URL finale (proxy/CDN inclus)
Expose X-Request-ID pour debug
Changelog lu lors des upgrades

fetch

// JWT
fetch("https://api.example.com/v1/private", {
  headers: { "Authorization": "Bearer " + token }
});

// Cookies
fetch("https://api.example.com/v1/me", {
  credentials: "include"
});

axios

// JWT
axios.get("https://api.example.com/v1/private", {
  headers: { Authorization: `Bearer ${token}` }
});

// Cookies
axios.get("https://api.example.com/v1/me", { withCredentials: true });

🌐 django-cors-headers — CORS propre et sécurisé sur Django

Pourquoi CORS existe (vraiment)

Architecture (mental model)

Installation & intégration Django

Quickstart (dev/prod)

Settings essentiels

Préflight & performance

Sécurité : CORS ≠ Auth ≠ CSRF

DRF / JWT / Cookies

Nginx / Reverse proxy

Tests & vérification

Recettes (réelles) de prod

Troubleshooting

Liens & ressources

Niveau & complexité

Cheat‑sheet