HTTP CORS Header – Ein kleiner Überblick

Programmierung

Im heutigen digitalen Zeitalter ist die Kommunikation zwischen verschiedenen Webanwendungen und Servern unverzichtbar. Die gleiche Ursprungspolitik (Same-Origin Policy) wurde entwickelt, um den Schutz der Benutzerdaten zu gewährleisten und unerwünschten Zugriff auf Ressourcen zu verhindern. Allerdings kann sie auch zu Einschränkungen führen, wenn es darum geht, Ressourcen zwischen verschiedenen Ursprüngen (Origins) auszutauschen. Hier kommen die HTTP CORS Header ins Spiel.

Was sind HTTP CORS Header?

CORS steht für Cross-Origin Resource Sharing und ist ein Mechanismus, der es Webanwendungen ermöglicht, Ressourcen sicher zwischen verschiedenen Ursprüngen (Domains, Protokollen oder Ports) auszutauschen. Die HTTP CORS Header werden verwendet, um die Sicherheit und den Kontrollfluss bei der Kommunikation zwischen Webanwendungen und Servern zu steuern.

Die wichtigsten CORS-Header

  1. Access-Control-Allow-Origin: Dieser Header gibt an, von welchen Ursprüngen Anfragen akzeptiert werden. Wenn beispielsweise der Wert „*“ festgelegt ist, sind Anfragen von allen Ursprüngen erlaubt. Wenn jedoch ein bestimmter Ursprung angegeben wird, sind nur Anfragen von diesem Ursprung erlaubt.
  2. Access-Control-Allow-Methods: Hier werden die HTTP-Methoden aufgeführt, die für den Zugriff auf die Ressource erlaubt sind. Dazu gehören GET, POST, PUT, DELETE und andere. Durch die Festlegung dieses Headers kann der Server steuern, welche Operationen auf seine Ressourcen ausgeführt werden dürfen.
  3. Access-Control-Allow-Headers: Dieser Header legt fest, welche zusätzlichen HTTP-Header in einer Anfrage enthalten sein dürfen. Er ermöglicht es dem Server, bestimmte Header für eine sichere Kommunikation zuzulassen.
  4. Access-Control-Allow-Credentials: Wenn dieser Header auf „true“ gesetzt ist, können Anfragen mit Anmeldeinformationen (z. B. Cookies oder HTTP-Authentifizierung) gesendet werden.
  5. Access-Control-Max-Age: Dieser Header gibt an, wie lange die Informationen über die CORS-Richtlinien im Cache des Clients gespeichert werden sollen.

CORS Header, um alles von überall zuzulassen (nicht empfohlen)

… kann aber zur Softwareentwicklung im Browser sehr hilfreich sein. Da ich hier teilweise immer lange gesucht habe, hier einfach zum Copypasten

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: *
Access-Control-Allow-Headers: *
Access-Control-Max-Age: 3600

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert