CORS

CORS (Cross-Origin Resource Sharing) ist ein System, das aus der Übertragung von HTTP-Headern besteht und bestimmt, ob Browser verhindern, dass Frontend-JavaScript-Code auf Antworten für Cross-Origin-Anfragen zugreift.

Die Same-Origin-Sicherheitspolitik verbietet den Cross-Origin-Zugriff auf Ressourcen. Aber CORS ermöglicht es Webservern, anzugeben, dass sie in den Cross-Origin-Zugriff auf ihre Ressourcen einwilligen möchten.

CORS-Header

Access-Control-Allow-Origin: Gibt an, ob die Antwort freigegeben werden kann.
Access-Control-Allow-Credentials: Gibt an, ob die Antwort auf die Anfrage offengelegt werden kann, wenn das Berechtigungs-Flag wahr ist.
Access-Control-Allow-Headers: Wird als Antwort auf eine Preflight-Anfrage verwendet, um anzugeben, welche HTTP-Header bei der tatsächlichen Anfrage verwendet werden können.
Access-Control-Allow-Methods: Gibt die Methode oder Methoden an, die beim Zugriff auf die Ressource als Antwort auf eine Preflight-Anfrage erlaubt sind.
Access-Control-Expose-Headers: Gibt an, welche Header als Teil der Antwort offengelegt werden können, indem ihre Namen aufgelistet werden.
Access-Control-Max-Age: Gibt an, wie lange die Ergebnisse einer Preflight-Anfrage zwischengespeichert werden können.
Access-Control-Request-Headers: Wird verwendet, um bei einer Preflight-Anfrage den Server wissen zu lassen, welche HTTP-Header bei der tatsächlichen Anfrage verwendet werden.
Access-Control-Request-Method: Wird verwendet, um bei einer Preflight-Anfrage den Server wissen zu lassen, welche HTTP-Methode bei der tatsächlichen Anfrage verwendet wird.
Origin: Gibt an, von woher ein Abruf ausgeht.
Timing-Allow-Origin: Gibt Ursprünge an, die berechtigt sind, Werte von Attributen zu sehen, die über Features der Resource Timing API abgerufen wurden, welche ansonsten aufgrund von Cross-Origin-Beschränkungen als null gemeldet würden.

Siehe auch

Cross-Origin Resource Sharing (CORS)
Cross-origin resource sharing auf Wikipedia
Fetch-Spezifikation