Home

CORSPreflightAnfragen

CORS-Preflight-Anfragen sind ein Bestandteil des Cross-Origin Resource Sharing (CORS) und dienen der sicheren Prüfung von Cross-Origin-Anfragen durch Browser. Sie treten auf, wenn eine Webanwendung Inhalte von einer anderen Herkunft anfordern möchte und certain Bedingungen für eine direkte Anfrage erfüllt sind, oder benutzerdefinierte Header verwendet werden.

Der Ablauf besteht darin, dass der Browser vor der eigentlichen Anfrage eine Preflight-Anfrage sendet. Dabei handelt

Wichtige Antwortheader der Preflight sind unter anderem Access-Control-Allow-Origin, Access-Control-Allow-Methods und Access-Control-Allow-Headers. Optional können Access-Control-Allow-Credentials (für Cookies/Anmeldeinformationen)

Was als einfach gilt, bestimmt, ob eine Preflight erfolgt. Einfache Anfragen umfassen GET, HEAD und POST mit

Sicherheit und Praxis: Server müssen die richtigen CORS-Header setzen und nur vertrauenswürdige Ursprünge zulassen. Häufige Best

es
sich
um
eine
HTTP-OPTIONS-Anfrage
an
die
Zielressource.
Die
Preflight
enthält
Informationen
wie
Origin
(die
Ursprungs‑URL),
Access-Control-Request-Method
(die
geplante
Methode,
z.
B.
PUT
oder
DELETE)
und
Access-Control-Request-Headers
(benutzerdefinierte
oder
nicht-standardisierte
Header).
Der
Server
antwortet
mit
zulässigen
CORS-Headern
oder
verweigert
die
Anfrage.
und
Access-Control-Max-Age
angegeben
werden,
um
die
Gültigkeitsdauer
der
Preflight-Antwort
zu
steuern.
Wird
die
Preflight
akzeptiert,
folgt
die
eigentliche
Cross-Origin-Anfrage;
andernfalls
schlägt
sie
im
Browser
fehl,
und
es
wird
ein
CORS-Fehler
gemeldet.
bestimmten
sicheren
Content-Type-Werten
(z.
B.
text/plain,
application/x-www-form-urlencoded,
multipart/form-data)
und
ohne
benutzerdefinierte
Header.
Alle
anderen
Fälle
lösen
eine
Preflight
aus.
Practices
umfassen
Minimierung
von
Preflight-Anfragen,
sinnvolle
Max-Age-Werte,
spezifizierte
Methoden
und
Header
sowie
sorgfältige
Handhabung
von
Credentials.
In
vielen
Frameworks
und
Web-Servern
gibt
es
Middleware
oder
Konfigurationsmöglichkeiten,
um
CORS
entsprechend
zu
implementieren.