Access-Control-Allow-Origin
Access-Control-Allow-Origin: http://siteA.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Content-Type
Access-Control-Allow-Origin : * : Lässt jeden Ursprung zu.
Access-Control-Allow-Origin : http://mysite.com : Anfragen nur von mysite.com zulassen.
origin
Gibt einen Ursprung an. Es kann nur ein einziger Ursprung angegeben werden.
Wenn der Server Clients mit mehreren Ursprüngen unterstützt,
muss er den Ursprung für den spezifischen Client zurückgeben, der die Anfrage stellt.
Access-Control-Allow-Origin: *
Bei Anfragen ohne Anmeldeinformationen kann der Literalwert " *" als Platzhalter angegeben werden;
Der Wert weist Browser an, anfordernden Code von jedem beliebigen Ursprung für den Zugriff auf die Ressource zuzulassen.
Access-Control-Allow-Origin: origin
Gibt einen Ursprung an. Es kann nur ein einziger Ursprung angegeben werden.
Wenn der Server Clients mit mehreren Ursprüngen unterstützt,
muss er den Ursprung für den spezifischen Client zurückgeben, der die Anfrage stellt.
Beispiel
Access-Control-Allow-Origin: https://beispiel.org
Access-Control-Allow-Origin: null
Gibt den Ursprung "null" an.
Hinweis:
null sollte nicht verwendet werden :
Es mag sicher erscheinen, zurückzugeben Access-Control-Allow-Origin: "null",
aber die Serialisierung des Ursprungs jeder Ressource, die ein nicht hierarchisches Schema (wie data:oder file:)
und Sandbox-Dokumente verwendet, ist als "null" definiert.
Viele Benutzeragenten gewährt solchen Dokumenten Zugriff auf eine Antwort mit einem Access-Control-Allow-Origin: "null"Header,
und jeder Ursprung kann ein feindliches Dokument mit einem "Null"-Origin erstellen.
Der "Null"-Wert für den ACAO-Header sollte daher vermieden werden."