L'idée est d'autoriser les requêtes AJAX provenant de bda.ens.fr envoyées à cof.ens.fr. Pour ça on autorise les headers CORS (Cross Origin Resource Headers) provenant de bda.ens.fr et cof.ens.fr. La documentation de l'appli se trouve sur https://github.com/ottoyiu/django-cors-headers.