Cross-Origin-Request
Der Cross-Origin-Request, deutsch: "Ursprungsübergreifende Anfrage", ist ein direkter, interner Zugriff von einer Webseite auf dem Server A auf einen zweiten Server B, der möglicherweise in einer anderen Domain liegt.
Zugriffe dieser Art werden seit 1996 durch das Sicherheitskonzept Same-Origin-Policy von Webbrowsern verhindert, wenn sie mit der Programmiersprache JavaScript erfolgen. Damit sind Passwörter einer Anwendung auch nicht über Umwege sichtbar.
Das World Wide Web Consortium W3C definiert alternativ die Methode Cross-Origin Resource Sharing CORS, die Webbrowsern und Clients den gezielten Zugriff auf einzelne, abgegrenzte Ressourcen anderer Herkunft ermöglicht.[1] Dies ist ein Kompromiss zugunsten größerer Flexibilität unter Berücksichtigung möglichst hoher Sicherheitsmaßnahmen.
Beispiel: Eine HTML-Seite wird von einem Server über die Domain http://www.domain-A.de
bereitgestellt. Die HTML-Seite enthält eine JavaScript-Anweisung, welche ein Bild lädt, dessen URL auf einen anderen Server verweist http://www.domain-B.de/image.jpg
. Dies ist ein Cross-Origin-Request,[2] der nur unter bestimmten Bedingungen ausgeführt wird.
Einzelnachweise
- ↑ Cross-Origin Resource Sharing. Abgerufen am 29. März 2018 (amerikanisches Englisch).
- ↑ Cross-Origin Resource Sharing (CORS). Abgerufen am 29. März 2018 (amerikanisches Englisch).