Jetzt registrieren mit Code 2023LETSGO und 10% Rabatt für 1. Projekt/Bestellung erhalten!

Cross-Origin Resource Sharing (CORS)

Wissensdatenbank / Glossar: "Die herkunftsübergreifende gemeinsame Nutzung von Ressourcen (Cross-Origin Resource Sharing, CORS) ist ein Mechanismus, der es einer Webseite ermöglicht, Anfragen an einen Server zu richten, der sich in einer anderen Domäne befindet. Er soll verhi..."

Die herkunftsübergreifende gemeinsame Nutzung von Ressourcen (Cross-Origin Resource Sharing, CORS) ist ein Mechanismus, der es einer Webseite ermöglicht, Anfragen an einen Server zu richten, der sich in einer anderen Domäne befindet. Er soll verhindern, dass Webseiten Anfragen an einen Server stellen, der nicht zum Zugriff auf die angeforderte Ressource berechtigt ist.

Standardmäßig blockieren Webbrowser aus Sicherheitsgründen Anfragen von Webseiten an einen Server in einer anderen Domäne. Dies wird als Same-Origin-Policy bezeichnet. Es gibt jedoch viele legitime Anwendungsfälle, in denen eine Webseite Anforderungen an einen Server in einer anderen Domäne stellen muss, z. B. bei der Integration mit APIs von Drittanbietern oder beim Laden von Inhalten aus einem Content Delivery Network (CDN).

Damit eine Webseite Anfragen an einen Server in einer anderen Domäne stellen kann, muss der Server CORS-Header in seine Antworten aufnehmen. Diese Header geben an, welche Domänen Anforderungen an den Server stellen dürfen und welche HTTP-Methoden erlaubt sind.

Wenn beispielsweise eine Webseite unter "example.com" eine Anfrage an einen Server unter "api.example.com" stellen möchte, muss der Server unter "api.example.com" den folgenden Header in seine Antworten aufnehmen:

Access-Control-Allow-Origin: example.com

Dies ermöglicht es der Webseite "example.com", Anfragen an den Server "api.example.com" zu stellen. Der Server kann auch angeben, welche HTTP-Methoden zulässig sind, indem er die Kopfzeile "Access-Control-Allow-Methods" einfügt.

CORS ist eine wichtige Sicherheitsfunktion, die Cross-Site-Scripting (XSS)-Angriffe verhindert, indem sie die Domänen einschränkt, die Anfragen an einen Server stellen dürfen. CORS ist ein wichtiger Aspekt der Webentwicklung und wird häufig verwendet, um die Integration mit APIs von Drittanbietern und anderen Diensten zu ermöglichen.