Cross-Origin-Resource-Policy

Der HTTP Cross-Origin-Resource-Policy Antwort-Header (CORP) gibt an, dass der Browser no-cors Cross-Origin- oder Cross-Site-Anfragen an die angegebene Ressource blockieren soll.

Er spezifiziert die Richtlinie des Ressourcenbesitzers, welche Seiten/Ursprünge berechtigt sind, diese Ressource zu laden.

Header-Typ Antwort-Header
Verbotener Anforderungs-Header Nein

Syntax

http
Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin

Direktiven

same-site

Ressourcen können nur von derselben Site geladen werden.

same-origin

Ressourcen können nur vom gleichen Ursprung geladen werden.

cross-origin

Ressourcen können von jedem anderen Ursprung/Website geladen werden.

Beispiele

Für weitere Beispiele siehe https://resourcepolicy.fyi/.

Ablehnen von Cross-Origin-No-Cors-Anfragen

Der folgende Cross-Origin-Resource-Policy-Header wird dafür sorgen, dass kompatible Benutzeragenten Cross-Origin-No-Cors-Anfragen ablehnen:

http
Cross-Origin-Resource-Policy: same-origin

Spezifikationen

Specification
Fetch
# cross-origin-resource-policy-header

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
Cross-Origin-Resource-Policy

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support
See implementation notes.

Siehe auch