CORS (Cross-Origin Resource Sharing) Definition

Was ist CORS (Cross-Origin Resource Sharing)?

Steht für „Cross-Origin Resource Sharing“. CORS ermöglicht es Scripts auf Webseiten, Ressourcen von anderen Domains anzufordern. Die meisten Webbrowser blockieren diese Art von Anfragen standardmäßig aus Sicherheitsgründen.

Eine Webseite kann Ressourcen von einer anderen Domain anfordern – solange die Anfragen aus dem HTML kommen. Zum Beispiel kann der <head> Abschnitt auf Ressourcen wie CSS-Dateien, Schriften und JS-Dateien anderer Domains verweisen. Beispiele hierfür sind Google Analytics-Skripte, jQuery-Bibliotheken und Schriftarten, die auf einem anderen Server gehostet werden. In ähnlicher Weise kann der <body> Bilder von einem CDN oder einer anderen Domain anfordern. Herkunftsübergreifende Ressourcenanfragen im HTML erfordern keine CORS-Berechtigungen.

Wenn ein Skript oder ein iframe-Element eine herkunftsübergreifende Anfrage stellt, ist CORS erforderlich. Zum Beispiel kann eine AJAX-Methode – die nach dem Laden der Seite ausgeführt wird – keine Ressource aus einer anderen Domäne anfordern. CORS setzt diese Standardeinstellung des Browsers außer Kraft und lässt die Anfrage durchlaufen.

CORS wird mit Hilfe von HTTP-Headern zur „Zugriffskontrolle“ implementiert. Ein Server-Administrator kann die Antwort-Header, die beim Zugriff auf eine Webseite an den Browser eines Clients gesendet werden, hinzufügen oder ändern. Diese Einstellungen, die auf Apache- und IIS-Servern vorgenommen werden können, können standortspezifisch oder serverweit sein. Im Folgenden sind gängige Request- und Response-Header aufgeführt:

CORS-Request-Header:

* Origin
* Access-Control-Request-Method
* Access-Control-Request-Header

CORS-Response-Header:

* Access-Control-Allow-Origin
* Access-Control-Allow-Methods
* Access-Control-Expose-Header

CORS-Beispiel

Wenn ein Skript auf techterms.com eine Ressource von sharpened.com mit einer GET-Aktion anfordert, kann es die folgenden Request-Header senden:

Origin: https://techterms.com
Zugriffskontroll-Request-Methode: GET

Um die Anfrage zuzulassen, kann sharpened.com mit den folgenden Headern antworten:

Access-Control-Allow-Origin: https://techterms.com
Access-Control-Allow-Methods: GET

Access-Control-Allow-Origin can be set to specific domains or a wildcard using an asterisk (*). The wildcard setting allows cross-resource requests from all domains, which may be a security risk. Access-Control-Allow-Methods can be set to PUT, POST, DELETE, and others, including a wildcard (*) setting that allows all methods.

 

Die Definition von CORS (Cross-Origin Resource Sharing) auf dieser Seite ist eine Originaldefinition von SharTec.eu.
Das Ziel von SharTec ist es, Computerterminologie so zu erklären, dass sie leicht zu verstehen ist. Wir bemühen uns bei jeder von uns veröffentlichten Definition um Einfachheit und Genauigkeit. Wenn Sie Feedback zur CORS (Cross-Origin Resource Sharing)-Definition haben oder einen neuen Fachbegriff vorschlagen möchten, kontaktieren Sie uns bitte.