https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Cross-Origin_Resource_SharingCross-Origin Resource Sharing - Versionsgeschichte2026-05-27T06:47:33ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Cross-Origin_Resource_Sharing&diff=2580171&oldid=previmported>Polluks: /* Funktionsweise */ Flussdiagramm2025-12-10T10:32:21Z<p><span class="autocomment">Funktionsweise: </span> Flussdiagramm</p>
<p><b>Neue Seite</b></p><div>'''Cross-Origin Resource Sharing''' ('''CORS'''), deutsch: „Ursprungsübergreifende Ressourcenfreigabe“, ist ein Mechanismus, der [[Webbrowser]]n oder auch anderen Webclients [[Cross-Origin-Request]]s ermöglicht.<ref>[http://www.w3.org/TR/cors/ Arbeitsvorlage] des [[World Wide Web Consortium|W3C]], Stand 16. Januar 2014 (englisch)</ref> Zugriffe dieser Art sind normalerweise durch die [[Same-Origin-Policy]] (SOP) untersagt. CORS ist ein Kompromiss zugunsten größerer Flexibilität im Internet unter Berücksichtigung möglichst hoher Sicherheitsmaßnahmen.<br />
<br />
== Schutzziel ==<br />
<br />
Die SOP und die CORS-Regeln schützen die Ressourcen eines Webservers vor unerwünschten Zugriffen durch Browser, die sich im Kontext einer ''anderen Domain'' befinden. Das bedeutet: Durch CORS reglementiert der Betreiber eines Webservers den Zugriff auf dessen Ressourcen – also z.&nbsp;B. Daten, die der [[Server]] über eine Web-Schnittstelle verfügbar macht. Der Betreiber des Servers kann durch CORS Ausnahmen für Domains erstellen, aus deren Kontext der Browserzugriff möglich sein soll. Browser, die sich auf kompromittierten oder bösartigen Webseiten befinden, lehnen bei richtiger CORS-Konfiguration den Zugriff auf den fremden Server ab. Die Durchsetzung der Schutzziele anhand der vom angefragten Server definierten CORS-Regeln obliegt also dem Browser.<ref>{{Internetquelle |url=https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/11-Client-side_Testing/07-Testing_Cross_Origin_Resource_Sharing |titel=Testing Cross Origin Resource Sharing |hrsg=OWASP Foundation |abruf=2025-05-06}}</ref><ref name="mdn">{{Internetquelle|url=https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS|hrsg=|titel=Cross-Origin Resource Sharing (CORS)|werk=Mozilla Developer Network|offline=|zugriff=2025-05-06}}</ref><br />
<br />
Dadurch schützen die Browser ihre Benutzer davor, dass fremde Webseiten über den Browser des Benutzer auf Ressourcen zugreifen, die nicht für sie gedacht sind. Das trägt dazu bei, die Vertraulichkeit, Integrität und Verfügbarkeit der geschützten Ressourcen auf dem Server zu schützen.<br />
<br />
== Funktionsweise ==<br />
[[Datei:Flowchart showing Simple and Preflight XHR.svg|mini|rechts|Flussdiagramm]]<br />
Die Einschränkungen, die durch die ''SOP'' auferlegt sind, können vom jeweiligen Server, der angefragt wird, für bestimmte Clients aufgehoben werden.<br />
<br />
Damit die Anfrage eines Skripts auf einer Webseite, z.&nbsp;B. <code><nowiki>http://foo.example</nowiki></code>, an einen Server einer abweichenden [[Domain (Internet)|Domain]], z.&nbsp;B. <code><nowiki>http://bar.example</nowiki></code>, erfolgreich durchgeführt werden kann, muss der referenzierte Server bei seiner Antwort den Zugriff durch entsprechende [[Hypertext Transfer Protocol|HTTP]]-Header erlauben.<br />
Sendet <code><nowiki>bar.example</nowiki></code> den unten aufgeführten Header <code><nowiki>Access-Control-Allow-Origin</nowiki></code>, so erlaubt er dem Skript vom Server <code><nowiki>foo.example</nowiki></code> den Zugriff auf Ressourcen, die auf ihm (<code><nowiki>bar.example</nowiki></code>) gespeichert sind. Ein Cross-Origin-Request kann somit erfolgreich durchgeführt werden. Zugriffe auf andere Server werden aufgrund der ''SOP'' weiterhin nicht erfolgreich durchgeführt.<br />
<br />
HTTP-Header, gesetzt durch den Server <code><nowiki>bar.example</nowiki></code> (Beispiel):<br />
: <code><nowiki>Access-Control-Allow-Origin: http://foo.example</nowiki></code><br />
<br />
Weitere <code>Access-Control-*</code>-Header können das Zugriffsverhalten zusätzlich einschränken und die Sicherheit somit erhöhen, um den Server vor unberechtigten Anfragen zu schützen.<br />
<br />
CORS-Ressource, die ausschließlich über die [[Hypertext Transfer Protocol#HTTP GET|HTTP-GET]] Methode erreichbar ist:<br />
: <code><nowiki>Access-Control-Allow-Methods: GET</nowiki></code><br />
<br />
== Browser-Unterstützung ==<br />
CORS wird von folgenden Rendering-Engines unterstützt:<br />
* [[Gecko (Software)|Gecko]] 1.9.1+ ([[Mozilla Firefox]] 3.5+<ref name="mdn" />, [[SeaMonkey]] 2.0+<ref name="gecko_vers">{{Internetquelle|url=https://developer.mozilla.org/en/Gecko|hrsg=|titel=Gecko|werk=Mozilla Developer Network|zugriff=2024-03-15|archiv-url=https://web.archive.org/web/20120803092112/https://developer.mozilla.org/en/Gecko|archiv-datum=2012-08-03}}</ref>).<br />
* [[WebKit]] ([[Apple Safari]] 4+,<ref name="mozhacks_cors">{{Internetquelle|url=http://hacks.mozilla.org/2009/07/cross-site-xmlhttprequest-with-cors/|hrsg=|titel=cross-site xmlhttprequest with CORS|werk=Mozilla Hacks – the Web developer blog|offline=|zugriff=2015-06-02}}</ref> [[Google Chrome]] 3+<ref>{{Webarchiv|url=http://osvdb.org/59940 |archive-is=20120719142244 |text=Archivierte Kopie }}</ref>)<br />
* [[Trident (Software)|MSHTML/Trident]] 4.0+ ([[Internet Explorer]] 10+<ref>{{Internetquelle|url=http://blogs.msdn.com/b/ie/archive/2012/02/09/cors-for-xhr-in-ie10.aspx|hrsg=|titel= MSDN Blogs|werk=blogs.msdn.com|offline=|zugriff=2015-06-02}}</ref>, Internet Explorer 8 und 9 bieten teilweise Unterstützung durch das XDomainRequest-Objekt.<ref name="mozhacks_cors" />)<br />
* [[Opera (Browser)#Seitendarstellung|Presto]] 2.10.232+<ref>{{Internetquelle|url=http://www.opera.com/docs/specs/presto2.10/#m232|hrsg=|titel=Opera Software: Web specifications support in Opera Presto 2.10|werk=|offline=|zugriff=2015-06-02}}</ref> ([[Opera (Browser)|Opera]] 12+<ref>{{Internetquelle|url=http://dev.opera.com/blog/hello-opera-12/|hrsg=|titel=Dev.Opera – Hello Opera 12!|werk=dev.opera.com|offline=|zugriff=2015-06-02}}</ref>)<br />
<br />
== CORS vs. JSONP ==<br />
CORS kann als Alternative für [[JSONP]] genutzt werden. Während JSONP nur GET-Anfragen unterstützt, bietet CORS auch Unterstützung für andere HTTP-Anfragen. Mit der Verwendung von CORS ist es Webentwicklern möglich, normale [[XMLHttpRequest]]s bzw. die [[JavaScript]] Fetch API zu benutzen, die eine bessere Fehlerbehandlung als JSONP bieten. Auf der anderen Seite wird JSONP auch von Browsern unterstützt, die keine CORS-Unterstützung bieten.<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
== Weblinks ==<br />
* [http://enable-cors.org/ Enable CORS] (englisch)<br />
* [https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS Mozilla Developer Network] – Referenz mit Beispielen (englisch)<br />
* [https://www.keycdn.com/blog/cors-with-a-cdn/ CORS im Zusammenhang mit CDNs] (englisch)<br />
<br />
[[Kategorie:World Wide Web]]<br />
[[Kategorie:Standardisierung]]<br />
[[Kategorie:Web-Entwicklung]]</div>imported>Polluks