Cross-Origin-Resource-Policy
Der HTTP Cross-Origin-Resource-Policy Antwort-Header (CORP) zeigt an, dass der Browser no-cors-Cross-Origin- oder Cross-Site-Anfragen zu der angegebenen Ressource blockieren sollte.
Es legt die Richtlinie des Ressourcenbesitzers für die Websites/Ursprünge fest, die diese Ressource laden dürfen.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anforderungs-Header | Nein |
Syntax
http
Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin
Direktiven
same-site-
Ressourcen können nur von der gleichen Website geladen werden.
same-origin-
Ressourcen können nur vom gleichen Ursprung geladen werden.
cross-origin-
Ressourcen können von jedem anderen Ursprung/Website geladen werden.
Beispiele
Für weitere Beispiele siehe https://resourcepolicy.fyi/.
Keine Cross-Origin-Anfragen mit no-cors zulassen
Der Cross-Origin-Resource-Policy-Header unten wird dazu führen, dass kompatible Benutzeragenten Cross-Origin-Anfragen mit no-cors nicht zulassen:
http
Cross-Origin-Resource-Policy: same-origin
Spezifikationen
| Specification |
|---|
| Fetch # cross-origin-resource-policy-header |
Browser-Kompatibilität
BCD tables only load in the browser