Access-Control-Allow-Origin

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

We'd love to hear more about your role and the company you work for
Please help us by answering a few questions.

Der HTTP Access-Control-Allow-Origin Antwort-Header gibt an, ob die Antwort mit anfragendem Code von der angegebenen Herkunft geteilt werden kann.

Header-Typ Antwort-Header
Verbotener Anfrage-Header Nein

Syntax

http
Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origin>
Access-Control-Allow-Origin: null

Direktiven

* (Wildcard)

Der anfragende Code von jeder Herkunft darf auf die Ressource zugreifen. Für Anfragen ohne Anmeldedaten kann der Literalwert * als Wildcard angegeben werden. Der Versuch, die Wildcard mit Anmeldedaten zu verwenden, führt zu einem Fehler.

<origin>

Gibt eine einzelne Herkunft an. Wenn der Server Clients aus mehreren Herkünften unterstützt, muss er die Herkunft für den spezifischen Client zurückgeben, der die Anfrage stellt.

null

Gibt die Herkunft "null" an.

Hinweis: Der Wert null sollte nicht verwendet werden. Es mag sicher erscheinen, Access-Control-Allow-Origin: "null" zurückzugeben; jedoch wird die Herkunft von Ressourcen, die ein nicht-hierarchisches Schema verwenden (wie data: oder file:), und sandboxed Dokumente als null serialisiert. Viele Browser werden solchen Dokumenten den Zugriff auf eine Antwort mit einem Header Access-Control-Allow-Origin: null gewähren, und jede Herkunft kann ein feindliches Dokument mit einer null-Herkunft erstellen. Daher sollte der null-Wert für den Access-Control-Allow-Origin-Header vermieden werden.

Beispiele

Eine Antwort, die dem Browser mitteilt, dass Code von jeder Herkunft auf eine Ressource zugreifen darf, wird Folgendes enthalten:

http
Access-Control-Allow-Origin: *

Eine Antwort, die dem Browser mitteilt, dass anfragender Code von der Herkunft https://developer.mozilla.org auf eine Ressource zugreifen darf, wird Folgendes enthalten:

http
Access-Control-Allow-Origin: https://developer.mozilla.org

Das Begrenzen der möglichen Access-Control-Allow-Origin-Werte auf eine Reihe erlaubter Herkünfte erfordert Code auf der Serverseite, um den Wert des Origin Anfrage-Headers zu überprüfen, diesen mit einer Liste erlaubter Herkünfte zu vergleichen, und dann, wenn der Origin-Wert in der Liste ist, den Access-Control-Allow-Origin-Wert auf denselben Wert wie der Origin-Wert zu setzen.

CORS und Caching

Angenommen, der Server sendet eine Antwort mit einem Access-Control-Allow-Origin-Wert mit einer expliziten Herkunft (anstatt des *-Wildcards). In diesem Fall sollte die Antwort auch einen Vary Antwort-Header mit dem Wert Origin enthalten — um den Browsern anzuzeigen, dass Serverantworten basierend auf dem Wert des Origin Anfrage-Headers variieren können.

http
Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Spezifikationen

Specification
Fetch
# http-access-control-allow-origin

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
Access-Control-Allow-Origin

Tip: you can click/tap on a cell for more information.

Full support

Siehe auch