Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.Erfahre mehr über dieses Experiment.
Cross-Origin Resource Sharing (CORS) Konfiguration
Cross-Origin Resource Sharing (CORS) wird mit Hilfe vonAccess-Control-Allow-Origin und verwandten Headern gehandhabt.Access-Control-Allow-Origin definiert die nicht gleichen Ursprünge, die berechtigt sind, Anfragen an Seiten auf Ihrer Domain zu senden (d.h. überXMLHttpRequest oderfetch()).
Problem
Standardmäßig blockiert dieSame-Origin-Policy von Skripten initiierte Cross-Origin HTTP-Anfragen. Es gibt mehrere Anwendungsfälle, die einen Zugriff von skriptübergreifenden Quellen erfordern; zum Beispiel Content Delivery Networks (CDNs), die das Hosting für JavaScript/CSS-Bibliotheken und öffentliche API-Endpunkte bereitstellen. Jedoch stellt der Cross-Origin-Zugriff ein großes Sicherheitsrisiko dar und muss sorgfältig kontrolliert werden.
Lösung
Verwenden SieAccess-Control-Allow-Origin, um die nicht gleichen Ursprünge zu definieren, die berechtigt sind, Anfragen an Seiten auf Ihrer Domain zu senden.
Wenn vorhanden, sollteAccess-Control-Allow-Origin die minimale Anzahl an Ursprüngen und Ressourcen angeben, die für das Funktionieren Ihrer Website notwendig sind. Wenn Ihr Server beispielsweise sowohl eine Website als auch eine API bereitstellt, die für den entferntenXMLHttpRequest-Zugriff gedacht ist, sollten nur die API-Ressourcen den HeaderAccess-Control-Allow-Origin zurückgeben.
WennAccess-Control-Allow-Origin nicht korrekt gesetzt wird, können unautorisierte Ursprünge die Inhalte jeder Seite auf Ihrer Website lesen. Dies kann besonders gefährlich sein, wenn diese Seiten in der Lage sind, Anmeldeinformationen zu senden, wodurch Ihre Website potenziellCSRF-Angriffen ausgesetzt wird.
Wenn ein authentifizierter Zugriff von bestimmten Ursprüngen erforderlich ist, stellen Sie sicher, dassAccess-Control-Allow-Origin nur auf diese Ursprünge gesetzt wird, anstatt denOrigin-Header zu spiegeln. Wenn öffentlicher, nicht authentifizierter Zugriff erforderlich ist, setzen SieAccess-Control-Allow-Origin auf* und lassen Sie den HeaderAccess-Control-Allow-Credentials weg. Andernfalls lassen Sie beide Header weg.
Beispiele
Erlauben Sie jeder Website, den Inhalt einer JavaScript-Bibliothek zu lesen:
Access-Control-Allow-Origin: *Hinweis:Diese Einstellung ist erforderlich, damit dieSubresource Integrity funktioniert.
Erlauben Siehttps://random-dashboard.example.org, die zurückgegebenen Ergebnisse einer API zu lesen:
Access-Control-Allow-Origin: https://random-dashboard.example.orgSiehe auch
Access-Control-Allow-OriginAccess-Control-Allow-CredentialsAccess-Control-Allow-HeadersAccess-Control-Allow-MethodsAccess-Control-Expose-HeadersAccess-Control-Max-AgeAccess-Control-Request-HeadersAccess-Control-Request-MethodOrigin- Cross-Origin Resource Sharing (CORS)
- CORS for Developers von W3C (2016)