Cross-Origin-Resource-Policy
Der HTTP Cross-Origin-Resource-Policy Antwort-Header (CORP) gibt an, dass der Browser no-cors Cross-Origin- oder Cross-Site-Anfragen an die angegebene Ressource blockieren sollte.
Er gibt die Richtlinie des Ressourcenbesitzers an, welche Websites/Ursprünge berechtigt sind, diese Ressource zu laden.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Header-Name | Nein |
Syntax
http
Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin
Direktiven
same-site-
Ressourcen können nur von derselben Site geladen werden.
same-origin-
Ressourcen können nur vom selben Ursprung geladen werden.
cross-origin-
Ressourcen können von jedem anderen Ursprung/Website geladen werden.
Beispiele
Für weitere Beispiele siehe https://resourcepolicy.fyi/.
Ablehnen von Cross-Origin no-cors Anfragen
Der untenstehende Cross-Origin-Resource-Policy Header führt dazu, dass kompatible Benutzeragenten Cross-Origin no-cors Anfragen ablehnen:
http
Cross-Origin-Resource-Policy: same-origin
Spezifikationen
| Specification |
|---|
| Fetch # cross-origin-resource-policy-header |
Browser-Kompatibilität
BCD tables only load in the browser