Cross-Origin-Resource-Policy (CORP) header

Der HTTP-Cross-Origin-Resource-Policy-Antwortheader (CORP) gibt an, dass der Browser no-cors-Cross-Origin- oder Cross-Site-Anfragen zu der angegebenen Ressource blockieren soll.

Er legt die Richtlinie des Ressourceneigentümers fest, welche Sites/Ursprünge diese Ressource laden dürfen.

Header-Typ Antwortheader
Verbotener Anforderungsheader Nein

Syntax

http
Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin

Direktiven

same-site

Ressourcen können nur von derselben Site geladen werden.

same-origin

Ressourcen können nur vom selben Ursprung geladen werden.

cross-origin

Ressourcen können von jedem anderen Ursprung/Webseite geladen werden.

Beispiele

Verhindern von no-cors-Cross-Origin-Anfragen

Der folgende Cross-Origin-Resource-Policy-Header bewirkt, dass kompatible Benutzeragenten no-cors-Cross-Origin-Anfragen verhindern:

http
Cross-Origin-Resource-Policy: same-origin

Spezifikationen

Specification
Fetch
# cross-origin-resource-policy-header

Browser-Kompatibilität

Siehe auch