Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cross-Origin Resource Sharing (CORS)

Cross-Origin-Ressourcen sicher freigeben

Mariko Kosaka

Die Same-Origin-Richtlinie des Browsers verhindert das Lesen einer Ressource aus einem anderen Ursprung. Dieser Mechanismus verhindert, dass bösartige Websites die Daten anderer Websites lesen können, aber er verhindert auch legitime Verwendungszwecke.

Moderne Web-Apps möchten häufig Ressourcen von einem anderen Ursprung abrufen, z. B. JSON-Daten von einer anderen Domain oder Bilder von einer anderen Website in ein <canvas>-Element laden. Dabei kann es sich um öffentliche Ressourcen handeln, die für jeden lesbar sein sollten, aber die Same-Origin-Policy blockiert ihre Verwendung. Entwickler haben in der Vergangenheit Workarounds wie JSONP verwendet.

Cross-Origin Resource Sharing (CORS) behebt dieses Problem auf standardisierte Weise. Wenn Sie CORS aktivieren, kann der Server dem Browser mitteilen, dass er einen zusätzlichen Ursprung verwenden kann.

Wie funktioniert eine Ressourcenanfrage im Web?

Anfrage und Antwort — Abbildung von Clientanfrage und Serverantwort.

Ein Browser und ein Server können Daten über das Netzwerk mithilfe des Hypertext Transfer Protocol (HTTP) austauschen. HTTP definiert die Kommunikationsregeln zwischen dem Anfragenden und dem Antwortenden, einschließlich der Informationen, die zum Abrufen einer Ressource erforderlich sind.

Der HTTP-Header verhandelt den Nachrichtenaustausch zwischen dem Client und dem Server und wird verwendet, um den Zugriff zu bestimmen. Sowohl die Anfrage des Browsers als auch die Antwortnachricht des Servers sind in einen Header und einen Body unterteilt.

Informationen zur Nachricht, z. B. der Nachrichtentyp oder die Codierung der Nachricht. Ein Header kann verschiedene Informationen in Form von Schlüssel/Wert-Paaren enthalten. Der Anfrageheader und der Antwortheader enthalten unterschiedliche Informationen.

Beispiel für einen Anfrageheader

Accept: text/html
Cookie: Version=1

Dieser Header entspricht der Aussage „Ich möchte HTML als Antwort erhalten. Hier ist ein Cookie, das ich habe.“

Beispiel für einen Antwortheader

Content-Encoding: gzip
Cache-Control: no-store

Dieser Header entspricht der Aussage: „Die Daten in dieser Antwort sind mit gzip codiert. Diese Seite darf nicht im Cache gespeichert werden.“

Text

Die Nachricht selbst. Das kann Nur-Text, ein Bild-Binärformat, JSON, HTML oder viele andere Formate sein.

Wie funktioniert CORS?

Die Same-Origin-Policy weist den Browser an, Anfragen für Ressourcen unterschiedlicher Herkunft zu blockieren. Wenn Sie eine öffentliche Ressource von einem anderen Ursprung benötigen, teilt der Server, der die Ressource bereitstellt, dem Browser mit, dass der Ursprung, der die Anfrage sendet, auf seine Ressource zugreifen kann. Der Browser merkt sich das und erlaubt Cross-Origin Resource Sharing für diese Ressource.

Schritt 1: Clientanfrage (Browser)

Wenn der Browser eine ursprungsübergreifende Anfrage stellt, fügt er einen Origin-Header mit dem aktuellen Ursprung (Schema, Host und Port) hinzu.

Schritt 2: Serverantwort

Wenn ein Server diesen Header sieht und den Zugriff zulassen möchte, fügt er der Antwort einen Access-Control-Allow-Origin-Header hinzu, in dem der anfragende Ursprung angegeben wird (oder *, um jeden Ursprung zuzulassen).

Schritt 3: Browser empfängt Antwort

Wenn der Browser diese Antwort mit einem entsprechenden Access-Control-Allow-Origin-Header sieht, gibt er die Antwortdaten an die Clientwebsite weiter.

Aus Datenschutzgründen wird CORS normalerweise für anonyme Anfragen verwendet, bei denen der Anfragende nicht identifiziert wird. Wenn Sie Cookies senden möchten, wenn Sie CORS verwenden, um den Absender zu identifizieren, müssen Sie der Anfrage und Antwort zusätzliche Header hinzufügen.

Anfrage

Fügen Sie den Abrufoptionen credentials: 'include' hinzu, wie im folgenden Beispiel gezeigt. Dazu gehört das Cookie mit der Anfrage:

fetch('https://example.com', {
  mode: 'cors',
  credentials: 'include'
})

Antwort

Access-Control-Allow-Origin muss auf einen bestimmten Ursprung festgelegt werden (kein Platzhalter mit *) und Access-Control-Allow-Credentials muss auf true festgelegt werden.

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true

Preflight-Anfragen für komplexe HTTP-Aufrufe

Wenn eine Web-App eine komplexe HTTP-Anfrage stellt, fügt der Browser am Anfang der Anfragekette eine Preflight-Anfrage hinzu.

Die CORS-Spezifikation definiert eine komplexe Anfrage so:

Eine Anfrage, die andere Methoden als GET, POST oder HEAD verwendet.
Eine Anfrage, die andere Header als Accept, Accept-Language oder Content-Language enthält.
Eine Anfrage mit einem Content-Type-Header, der nicht application/x-www-form-urlencoded, multipart/form-data oder text/plain ist.

Browser erstellen automatisch alle erforderlichen Preflight-Anfragen und senden sie vor der eigentlichen Anfragenachricht. Die Preflight-Anfrage ist eine OPTIONS-Anfrage wie im folgenden Beispiel:

OPTIONS /data HTTP/1.1
Origin: https://example.com
Access-Control-Request-Method: DELETE

Auf der Serverseite antwortet die App, die die Anfrage empfängt, auf die Preflight-Anfrage mit Informationen zu den Methoden, die die Anwendung von diesem Ursprung akzeptiert:

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods: GET, DELETE, HEAD, OPTIONS

Die Serverantwort kann auch einen Access-Control-Max-Age-Header enthalten, um die Dauer in Sekunden anzugeben, für die Preflight-Ergebnisse im Cache gespeichert werden sollen. So kann der Client mehrere komplexe Anfragen senden, ohne die Preflight-Anfrage wiederholen zu müssen.