Cross-Origin-Resource-Policy (CORP) header
Der HTTP-Cross-Origin-Resource-Policy
-Antwortheader (CORP) gibt an, dass der Browser no-cors
-Cross-Origin- oder Cross-Site-Anfragen zu der angegebenen Ressource blockieren soll.
Er legt die Richtlinie des Ressourceneigentümers fest, welche Sites/Ursprünge diese Ressource laden dürfen.
Header-Typ | Antwortheader |
---|---|
Verbotener Anforderungsheader | Nein |
Syntax
Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin
Direktiven
same-site
-
Ressourcen können nur von derselben Site geladen werden.
same-origin
-
Ressourcen können nur vom selben Ursprung geladen werden.
cross-origin
-
Ressourcen können von jedem anderen Ursprung/Webseite geladen werden.
Beispiele
Für weitere Beispiele siehe https://resourcepolicy.fyi/.
Verhindern von no-cors
-Cross-Origin-Anfragen
Der folgende Cross-Origin-Resource-Policy
-Header bewirkt, dass kompatible Benutzeragenten no-cors
-Cross-Origin-Anfragen verhindern:
Cross-Origin-Resource-Policy: same-origin
Spezifikationen
Specification |
---|
Fetch # cross-origin-resource-policy-header |