Cross-Origin-Resource-Policy

Der HTTP Cross-Origin-Resource-Policy Antwort-Header (CORP) gibt an, dass der Browser no-cors Cross-Origin- oder Cross-Site-Anfragen an die angegebene Ressource blockieren soll.

Er spezifiziert die Richtlinie des Ressourcenbesitzers, welche Seiten/Ursprünge berechtigt sind, diese Ressource zu laden.

Header-Typ Antwort-Header
Verbotener Anforderungs-Header Nein

Syntax

http
Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin

Direktiven

same-site

Ressourcen können nur von derselben Site geladen werden.

same-origin

Ressourcen können nur vom gleichen Ursprung geladen werden.

cross-origin

Ressourcen können von jedem anderen Ursprung/Website geladen werden.

Beispiele

Für weitere Beispiele siehe https://resourcepolicy.fyi/.

Ablehnen von Cross-Origin-No-Cors-Anfragen

Der folgende Cross-Origin-Resource-Policy-Header wird dafür sorgen, dass kompatible Benutzeragenten Cross-Origin-No-Cors-Anfragen ablehnen:

http
Cross-Origin-Resource-Policy: same-origin

Spezifikationen

Specification
Fetch
# cross-origin-resource-policy-header

Browser-Kompatibilität

Siehe auch