Cross-Origin-Resource-Policy

Der HTTP Cross-Origin-Resource-Policy Antwort-Header (CORP) gibt an, dass der Browser no-cors Cross-Origin- oder Cross-Site-Anfragen an die angegebene Ressource blockieren sollte.

Er gibt die Richtlinie des Ressourcenbesitzers an, welche Websites/Ursprünge berechtigt sind, diese Ressource zu laden.

Header-Typ Antwort-Header
Verbotener Header-Name Nein

Syntax

http
Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin

Direktiven

same-site

Ressourcen können nur von derselben Site geladen werden.

same-origin

Ressourcen können nur vom selben Ursprung geladen werden.

cross-origin

Ressourcen können von jedem anderen Ursprung/Website geladen werden.

Beispiele

Für weitere Beispiele siehe https://resourcepolicy.fyi/.

Ablehnen von Cross-Origin no-cors Anfragen

Der untenstehende Cross-Origin-Resource-Policy Header führt dazu, dass kompatible Benutzeragenten Cross-Origin no-cors Anfragen ablehnen:

http
Cross-Origin-Resource-Policy: same-origin

Spezifikationen

Specification
Fetch
# cross-origin-resource-policy-header

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
Cross-Origin-Resource-Policy

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support
See implementation notes.

Siehe auch