Access-Control-Allow-Origin header
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
Der HTTP Access-Control-Allow-Origin Antwort-Header gibt an, ob die Antwort mit anfragendem Code von der angegebenen Herkunft geteilt werden kann.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anforderungs-Header | Nein |
Syntax
Access-Control-Allow-Origin: *
Access-Control-Allow-Origin:
Access-Control-Allow-Origin: null
Direktiven
*(Wildcard)-
Der anfragende Code von jeder Herkunft darf auf die Ressource zugreifen. Bei Anfragen ohne Anmeldeinformationen kann der buchstäbliche Wert
*als Wildcard angegeben werden. Der Versuch, die Wildcard mit Anmeldeinformationen zu verwenden, führt zu einem Fehler. -
Gibt eine einzelne Herkunft an. Wenn der Server Clients von mehreren Herkünften unterstützt, muss er die spezifische Herkunft für den jeweiligen anfragenden Client zurückgeben.
null-
Gibt die Herkunft "null" an.
Hinweis: Der Wert
nullsollte nicht verwendet werden. Es mag sicher erscheinen,Access-Control-Allow-Origin: "null"zurückzugeben; jedoch wird die Herkunft von Ressourcen, die ein nicht-hierarchisches Schema nutzen (wiedata:oderfile:), und von dokumentierten Sandboxen alsnullserialisiert. Viele Browser gewähren solchen Dokumenten Zugriff auf eine Antwort mit einemAccess-Control-Allow-Origin: null-Header, und jede Herkunft kann ein feindliches Dokument mit einernull-Herkunft erstellen. Daher sollte dernullWert für denAccess-Control-Allow-Origin-Header vermieden werden.
Beispiele
Eine Antwort, die dem Browser mitteilt, dass Code von jeder Herkunft auf eine Ressource zugreifen darf, enthält Folgendes:
Access-Control-Allow-Origin: *
Eine Antwort, die dem Browser mitteilt, dass anfragender Code von der Herkunft https://developer.mozilla.org auf eine Ressource zugreifen darf, enthält Folgendes:
Access-Control-Allow-Origin: https://developer.mozilla.org
Um die möglichen Access-Control-Allow-Origin-Werte auf eine Reihe von erlaubten Herkünften zu beschränken, ist Server-seitiger Code erforderlich, der den Wert des Origin Anfrage-Headers überprüft, diesen mit einer Liste erlaubter Herkünfte vergleicht und, falls der Origin-Wert in der Liste ist, den Wert von Access-Control-Allow-Origin auf denselben Wert wie der Origin-Wert setzt.
CORS und Caching
Angenommen, der Server sendet eine Antwort mit einem Access-Control-Allow-Origin-Wert mit einer expliziten Herkunft (statt der *-Wildcard). In diesem Fall sollte die Antwort auch einen Vary Antwort-Header mit dem Wert Origin enthalten – um den Browsern anzuzeigen, dass Serverantworten je nach Wert des Origin-Anforderungs-Headers variieren können.
Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin
Spezifikationen
| Specification |
|---|
| Fetch # http-access-control-allow-origin |