CORS
CORS (Cross-Origin Resource Sharing) ist ein System, das aus der Übertragung von HTTP-Headern besteht und bestimmt, ob Browser verhindern, dass Frontend-JavaScript-Code auf Antworten für Cross-Origin-Anfragen zugreift.
Die Same-Origin-Sicherheitsrichtlinie verbietet den Cross-Origin-Zugriff auf Ressourcen. Aber CORS gibt Webservern die Möglichkeit anzugeben, dass sie Cross-Origin-Zugriff auf ihre Ressourcen zulassen möchten.
CORS-Header
Access-Control-Allow-Origin-
Gibt an, ob die Antwort geteilt werden kann.
Access-Control-Allow-Credentials-
Gibt an, ob die Antwort auf die Anfrage offengelegt werden kann, wenn das Anmeldeinformationen-Flag wahr ist.
Access-Control-Allow-Headers-
Wird als Antwort auf eine Preflight-Anfrage verwendet, um anzugeben, welche HTTP-Header bei der tatsächlichen Anfrage verwendet werden können.
Access-Control-Allow-Methods-
Gibt die Methoden oder Methoden an, die beim Zugriff auf die Ressource als Antwort auf eine Preflight-Anfrage erlaubt sind.
Access-Control-Expose-Headers-
Gibt an, welche Header als Teil der Antwort offengelegt werden können, indem ihre Namen aufgelistet werden.
Access-Control-Max-Age-
Gibt an, wie lange die Ergebnisse einer Preflight-Anfrage zwischengespeichert werden können.
Access-Control-Request-Headers-
Wird beim Auslösen einer Preflight-Anfrage verwendet, um dem Server mitzuteilen, welche HTTP-Header bei der tatsächlichen Anfrage verwendet werden.
Access-Control-Request-Method-
Wird beim Auslösen einer Preflight-Anfrage verwendet, um dem Server mitzuteilen, welche HTTP-Methode bei der tatsächlichen Anfrage verwendet wird.
Origin-
Gibt an, woher ein Abruf stammt.
Timing-Allow-Origin-
Gibt Ursprünge an, die die Werte der Attribute sehen dürfen, die über Funktionen der Resource Timing API abgerufen werden, die sonst aufgrund von Cross-Origin-Beschränkungen als null gemeldet würden.