Access-Control-Allow-Origin header

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

Der HTTP Access-Control-Allow-Origin Antwort-Header gibt an, ob die Antwort mit anfragendem Code von der angegebenen Herkunft geteilt werden kann.

Header-Typ Antwort-Header
Verbotener Anforderungs-Header Nein

Syntax

http
Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: 
Access-Control-Allow-Origin: null

Direktiven

* (Wildcard)

Der anfragende Code von jeder Herkunft darf auf die Ressource zugreifen. Bei Anfragen ohne Anmeldeinformationen kann der buchstäbliche Wert * als Wildcard angegeben werden. Der Versuch, die Wildcard mit Anmeldeinformationen zu verwenden, führt zu einem Fehler.

Gibt eine einzelne Herkunft an. Wenn der Server Clients von mehreren Herkünften unterstützt, muss er die spezifische Herkunft für den jeweiligen anfragenden Client zurückgeben.

null

Gibt die Herkunft "null" an.

Hinweis: Der Wert null sollte nicht verwendet werden. Es mag sicher erscheinen, Access-Control-Allow-Origin: "null" zurückzugeben; jedoch wird die Herkunft von Ressourcen, die ein nicht-hierarchisches Schema nutzen (wie data: oder file:), und von dokumentierten Sandboxen als null serialisiert. Viele Browser gewähren solchen Dokumenten Zugriff auf eine Antwort mit einem Access-Control-Allow-Origin: null-Header, und jede Herkunft kann ein feindliches Dokument mit einer null-Herkunft erstellen. Daher sollte der null Wert für den Access-Control-Allow-Origin-Header vermieden werden.

Beispiele

Eine Antwort, die dem Browser mitteilt, dass Code von jeder Herkunft auf eine Ressource zugreifen darf, enthält Folgendes:

http
Access-Control-Allow-Origin: *

Eine Antwort, die dem Browser mitteilt, dass anfragender Code von der Herkunft https://developer.mozilla.org auf eine Ressource zugreifen darf, enthält Folgendes:

http
Access-Control-Allow-Origin: https://developer.mozilla.org

Um die möglichen Access-Control-Allow-Origin-Werte auf eine Reihe von erlaubten Herkünften zu beschränken, ist Server-seitiger Code erforderlich, der den Wert des Origin Anfrage-Headers überprüft, diesen mit einer Liste erlaubter Herkünfte vergleicht und, falls der Origin-Wert in der Liste ist, den Wert von Access-Control-Allow-Origin auf denselben Wert wie der Origin-Wert setzt.

CORS und Caching

Angenommen, der Server sendet eine Antwort mit einem Access-Control-Allow-Origin-Wert mit einer expliziten Herkunft (statt der *-Wildcard). In diesem Fall sollte die Antwort auch einen Vary Antwort-Header mit dem Wert Origin enthalten – um den Browsern anzuzeigen, dass Serverantworten je nach Wert des Origin-Anforderungs-Headers variieren können.

http
Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Spezifikationen

Specification
Fetch
# http-access-control-allow-origin

Browser-Kompatibilität

Siehe auch