Cross-Origin Resource Sharing (CORS)

Eintrag zuletzt aktualisiert am: 26.06.2018

Durch Cross-Origin Resource Sharing (CORS) sind in Webbrowsern Cross-Origin-Requests aus JavaScript zu anderen Webservern möglich. Im Standard durch die Same-Origin-Policy (SOP) nur Verbindungen zu dem Webserver möglich, von dem das JavaScript geladen wurde. Das reicht aber nicht, wenn es einen Frontend-Webserver gibt, der das Frontend inklusive Javascript lädt und einen anderen Backend-Webserver gibt, der die Web APIs bereitstellt.

Ein Webserver kann einem Client per HTTP-Header Cross-Origin-Requests erlauben:

Access-Control-Allow-Origin: http://meineDomain.xy
Access-Control-Allow-Methods: GET

Möglich auch ist das Zulassen aller Domains für öffentliche APIs, die jedermann konsumieren können soll:
Access-Control-Allow-Origin: *