CORS (Cross-Origin Resource Sharing)
Was ist CORS (Cross-Origin Resource Sharing)?
CORS (Cross-Origin Resource Sharing)Vom Browser durchgesetzter Mechanismus, mit dem ein Server die Same-Origin Policy gezielt lockern kann, damit JavaScript einer Origin Antworten einer anderen lesen darf.
CORS wird über HTTP-Antwort-Header wie 'Access-Control-Allow-Origin', 'Access-Control-Allow-Methods', 'Access-Control-Allow-Headers' und 'Access-Control-Allow-Credentials' realisiert. Für nicht-'simple' Requests sendet der Browser einen 'OPTIONS'-Preflight und setzt nur fort, wenn der Server Origin und Methode explizit erlaubt. CORS schützt nicht den Server — die API kann weiterhin direkt aufgerufen werden —, es regelt lediglich, welche Origins die Antwort im Browser lesen dürfen. Fehlkonfigurationen wie das Reflektieren des 'Origin'-Headers mit Credentials, Wildcard '*' bei Cookies oder Vertrauen in die 'null'-Origin führen häufig zu Datenabfluss und Kontoübernahme. Eine strikte Per-Route-Allowlist ist sicherer Standard.
● Beispiele
- 01
API antwortet nur für 'https://app.example.com' mit 'Access-Control-Allow-Origin: https://app.example.com' und 'Access-Control-Allow-Credentials: true'.
- 02
Fehlkonfigurierter Server reflektiert jedes Origin und erlaubt Credentials — ermöglicht Cross-Site-Datendiebstahl.
● Häufige Fragen
Was ist CORS (Cross-Origin Resource Sharing)?
Vom Browser durchgesetzter Mechanismus, mit dem ein Server die Same-Origin Policy gezielt lockern kann, damit JavaScript einer Origin Antworten einer anderen lesen darf. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet CORS (Cross-Origin Resource Sharing)?
Vom Browser durchgesetzter Mechanismus, mit dem ein Server die Same-Origin Policy gezielt lockern kann, damit JavaScript einer Origin Antworten einer anderen lesen darf.
Wie schützt man sich gegen CORS (Cross-Origin Resource Sharing)?
Schutzmaßnahmen gegen CORS (Cross-Origin Resource Sharing) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CORS (Cross-Origin Resource Sharing)?
Übliche alternative Bezeichnungen: Cross-Origin Resource Sharing.