Activation de Cross-Origin Resource Sharing (CORS)

Les navigateurs Web ne peuvent normalement pas demander de ressources à l'extérieur du domaine où les ressources sont hébergées. Ces paramètres Cross-Origin Resource Sharing (CORS) peuvent être nécessaires si, par exemple, vous avez une application utilisant l'API M-Files REST API pour communiquer avec le coffre.

Important : L'utilisation de CORS constitue un assouplissement de la sécurité. Avant de continuer, assurez-vous que le risque est acceptable.

Dans M-Files Cloud, utilisez Advanced Vault Settings pour activer CORS. Dans un environnement local, vous pouvez utiliser Advanced Vault Settings ou les paramètres de registre Windows. Avec M-Files April '24 Update et les versions ultérieures, il est recommandé d’utiliser Advanced Vault Settings.

Activation de CORS avec Advanced Vault Settings

Ouvrez Advanced Vault Settings et accédez à Configuration > Client > Rest Api > Security And CORS. Cliquez sur l’icône d’information () de chaque paramètre pour plus de détails. N’oubliez pas d’activer CORS pour tous les coffres nécessaires.

Pour utiliser cette méthode dans les environnements sur site, les connexions entrantes et les coffres doivent être mis en correspondance. Voir Configuration des mappages entre les connexions entrantes et les coffres.

Activation de CORS avec les paramètres de registre

Dans un environnement local, vous pouvez activer CORS avec les paramètres de registre Windows. Pour ce faire, ajoutez les clés et les valeurs indiquées ici au registre Windows du serveur M-Files Web :


Clé	HKEY_LOCAL_MACHINE\SOFTWARE\Motive\M-Files\`<version>`\Server\MFWA\Sites\`<nom de site ou ID dans Internet Information Services>`
Nom de la valeur	EnableCrossOriginAccess
Type de valeur	REG_MULTI_SZ
Valeur	Une liste de mappages qui indiquent quelles origines ont accès à quels coffres. Sur chaque ligne, indiquez le nom d'hôte (nom DNS) à gauche du caractère égal. Après le caractère égal, ajoutez les origines autorisées, séparées par des points-virgules. Il n'est pas recommandé d'utiliser un astérisque (*) car celui-ci donne un accès cross-origin à partir de tous les sites. Définition du format pour deux coffres, noms d'hôtes séparés par un saut de ligne : `<nomdhote 1>=<origines autorisées séparées par des points-virgules> <nomdhote 2>=<origines autorisées séparées par des points-virgules>` Vous pouvez normalement vérifier l'URL des domaines d'origine avec votre navigateur. Par exemple, pour les applications web SharePoint, le format de l'URL est https://`<identifiant du domaine>`-`<identifiant de l'instance>`.sharepoint.com.
Exemple de valeur	`https://sample-vault.cloudvault.m-files.com=https://mfiles-123asd.sharepoint.com;https://mfiles-098xcv.sharepoint.com https://aa-consulting.cloudvault.m-files.com=https://aa-consulting-123asd.sharepoint.com;https://aa-consulting-098xcv.sharepoint.com https://vaultXXX.cloudvault.m-files.com=https://mfiles-123asd.sharepoint.com`


Clé	HKEY_LOCAL_MACHINE\SOFTWARE\Motive\M-Files\`<version>`\Server\MFWA\Sites\`<nom de site ou ID dans Internet Information Services>`
Nom de la valeur	AllowedCrossOriginHeaders
Type de valeur	REG_SZ
Description	Les en-têtes à autoriser dans la réponse.
Valeur	Origin,Content-Type,Accept,Access-Control-Allow-Origin,Cache-Control,X-Authentication,X-Requested-With,X-Vault,M-Files-Vault,m-files-session,m-files-extensions


Clé	HKEY_LOCAL_MACHINE\SOFTWARE\Motive\M-Files\`<version>`\Server\MFWA\Sites\`<nom de site ou ID dans Internet Information Services>`
Nom de la valeur	AllowedCrossOriginMethods
Type de valeur	REG_SZ
Description	Les méthodes à autoriser dans les en-têtes de réponse.
Valeur	PUT,POST,GET,OPTIONS