Cross-Origin-Resource-Policy
Der HTTP Cross-Origin-Resource-Policy Antwort-Header (CORP) gibt an, dass der Browser no-cors Cross-Origin- oder Cross-Site-Anfragen an die angegebene Ressource blockieren soll.
Er spezifiziert die Richtlinie des Ressourcenbesitzers, welche Seiten/Ursprünge berechtigt sind, diese Ressource zu laden.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anforderungs-Header | Nein |
Syntax
http
Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin
Direktiven
same-site-
Ressourcen können nur von derselben Site geladen werden.
same-origin-
Ressourcen können nur vom gleichen Ursprung geladen werden.
cross-origin-
Ressourcen können von jedem anderen Ursprung/Website geladen werden.
Beispiele
Für weitere Beispiele siehe https://resourcepolicy.fyi/.
Ablehnen von Cross-Origin-No-Cors-Anfragen
Der folgende Cross-Origin-Resource-Policy-Header wird dafür sorgen, dass kompatible Benutzeragenten Cross-Origin-No-Cors-Anfragen ablehnen:
http
Cross-Origin-Resource-Policy: same-origin
Spezifikationen
| Specification |
|---|
| Fetch # cross-origin-resource-policy-header |