CORS
CORS (Cross-Origin Resource Sharing) ist ein System, das aus der Übertragung von HTTP-Headern besteht und bestimmt, ob Browser JavaScript-Code auf der Client-Seite daran hindern, auf Antworten für Cross-Origin-Anfragen zuzugreifen.
Die Same-Origin-Sicherheitsrichtlinie verbietet den Cross-Origin-Zugriff auf Ressourcen. Aber CORS gibt Webservern die Möglichkeit, anzugeben, dass sie den Cross-Origin-Zugriff auf ihre Ressourcen zulassen möchten.
CORS-Header
Access-Control-Allow-Origin-
Gibt an, ob die Antwort geteilt werden kann.
Access-Control-Allow-Credentials-
Gibt an, ob die Antwort auf die Anfrage offengelegt werden kann, wenn das Berechtigungskennzeichen wahr ist.
Access-Control-Allow-Headers-
Wird als Antwort auf eine Preflight-Anfrage verwendet, um anzugeben, welche HTTP-Header bei der tatsächlichen Anfrage verwendet werden können.
Access-Control-Allow-Methods-
Gibt die Methode oder Methoden an, die beim Zugriff auf die Ressource als Antwort auf eine Preflight-Anfrage erlaubt sind.
Access-Control-Expose-Headers-
Gibt an, welche Header als Teil der Antwort offengelegt werden können, indem ihre Namen aufgelistet werden.
Access-Control-Max-Age-
Gibt an, wie lange die Ergebnisse einer Preflight-Anfrage zwischengespeichert werden können.
Access-Control-Request-Headers-
Wird verwendet, wenn eine Preflight-Anfrage gesendet wird, um dem Server mitzuteilen, welche HTTP-Header bei der tatsächlichen Anfrage verwendet werden.
Access-Control-Request-Method-
Wird verwendet, wenn eine Preflight-Anfrage gesendet wird, um dem Server mitzuteilen, welche HTTP-Methode bei der tatsächlichen Anfrage verwendet wird.
Origin-
Gibt an, woher ein Abruf stammt.
Timing-Allow-Origin-
Gibt die Ursprünge an, die berechtigt sind, Werte von Attributen einzusehen, die über Funktionen der Resource Timing API abgerufen werden können und die sonst aufgrund von Cross-Origin-Beschränkungen als Null gemeldet würden.