Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.Erfahre mehr über dieses Experiment.
Access-Control-Allow-Origin header
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since Juli 2015.
Der HTTPAccess-Control-Allow-OriginAntwort-Header gibt an, ob die Antwort mit anfragendem Code von dem angegebenenUrsprung geteilt werden kann.
| Header-Typ | Antwort-Header |
|---|
Syntax
Access-Control-Allow-Origin: *Access-Control-Allow-Origin: <origin>Access-Control-Allow-Origin: nullDirektiven
*(Platzhalter)Der anfragende Code von jedem Ursprung darf auf die Ressource zugreifen.Für Anfragenohne Anmeldedaten kann der literale Wert
*als Platzhalter angegeben werden.Der Versuch, den Platzhalter mit Anmeldedaten zu verwenden,führt zu einem Fehler.<origin>Gibt einen einzelnen Ursprung an. Wenn der Server Clients von mehreren Ursprüngen unterstützt, muss er den Ursprung für den spezifischen Client zurückgeben, der die Anfrage stellt.
nullGibt den Ursprung "null" an.
Hinweis:Der Wert
nullsollte nicht verwendet werden. Es mag sicher erscheinen,Access-Control-Allow-Origin: "null"zurückzugeben; jedoch wird der Ursprung von Ressourcen, die ein nicht-hierarchisches Schema verwenden (wiedata:oderfile:), sowie sandboxed Dokumente alsnullserialisiert.Viele Browser gewähren solchen Dokumenten Zugriff auf eine Antwort mit einemAccess-Control-Allow-Origin: nullHeader, und jeder Ursprung kann ein feindliches Dokument mit einemnullUrsprung erstellen.Daher sollte dernullWert für denAccess-Control-Allow-OriginHeader vermieden werden.
Beispiele
Eine Antwort, die dem Browser mitteilt, dass Code von jedem Ursprung auf eine Ressource zugreifen darf, wird folgendes beinhalten:
Access-Control-Allow-Origin: *Eine Antwort, die dem Browser mitteilt, dass der anfragende Code vom Ursprunghttps://developer.mozilla.org auf eine Ressource zugreifen darf, wird folgendes beinhalten:
Access-Control-Allow-Origin: https://developer.mozilla.orgDas Beschränken der möglichenAccess-Control-Allow-Origin Werte auf eine Menge zulässiger Ursprünge erfordert Code auf der Serverseite, um den Wert desOrigin Anfrage-Headers zu überprüfen, mit einer Liste zulässiger Ursprünge zu vergleichen, und dann, wenn derOrigin Wert in der Liste ist, denAccess-Control-Allow-Origin Wert auf denselben Wert wie derOrigin Wert zu setzen.
CORS und Caching
Angenommen, der Server sendet eine Antwort mit einemAccess-Control-Allow-Origin Wert mit einem expliziten Ursprung (anstatt des* Platzhalters). In diesem Fall sollte die Antwort auch einenVary Antwort-Header mit dem WertOrigin enthalten — um Browser darauf hinzuweisen, dass Serverantworten je nach Wert desOrigin Anfrage-Headers unterschiedlich sein können.
Access-Control-Allow-Origin: https://developer.mozilla.orgVary: OriginSpezifikationen
| Specification |
|---|
| Fetch # http-access-control-allow-origin |