Cross-Origin-Resource-Policy (CORP) header
Der HTTP Cross-Origin-Resource-Policy Antwort-Header (CORP) gibt an, dass der Browser no-cors Cross-Origin- oder Cross-Site-Anfragen an die gegebene Ressource blockieren sollte.
Er spezifiziert die Richtlinie des Ressourcenbesitzers, von welchen Websites/Origins diese Ressource geladen werden darf.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anforderungs-Header | Nein |
Syntax
http
Cross-Origin-Resource-Policy: same-site | same-origin | cross-origin
Direktiven
same-site-
Ressourcen können nur von derselben Website geladen werden.
same-origin-
Ressourcen können nur von derselben Origin geladen werden.
cross-origin-
Ressourcen können von jeder anderen Origin/Website geladen werden.
Beispiele
Für weitere Beispiele, siehe https://resourcepolicy.fyi/.
Das Ablehnen von Cross-Origin no-cors Anfragen
Der untenstehende Cross-Origin-Resource-Policy Header wird kompatible Benutzeragenten dazu veranlassen, Cross-Origin no-cors Anfragen abzulehnen:
http
Cross-Origin-Resource-Policy: same-origin
Spezifikationen
| Specification |
|---|
| Fetch # cross-origin-resource-policy-header |