HTTP: Cross-Site-Zugriffe mit CORS gezielt steuern

Browser blockieren HTTP-Zugriffe von JavaScript-Code auf fremde Domains. Manchmal will man genau das aber zulassen. Mit CORS-Headern löst man diesen Konflikt.

Artikel verschenken

(Bild: Albert Hulm)

24.06.2020, 11:00 Uhr

Lesezeit: 14 Min.

c't Magazin

Von

Jan Mahn

HTTP: Cross-Site-Zugriffe mit CORS gezielt steuern
- Trittbrettfahrer
Schutzmaßnahmen
Schwierige Fälle
Was tun?

Artikel in c't 14/2020 lesen

Um zu verstehen, warum es nötig ist, Ressourcen auf Webservern per Cross-Origin-Resource-Sharing (CORS) freizugeben, muss man zunächst einen Blick auf den Umgang von Browsern mit Cookies und sogenannten CSRF-Angriffen werfen. Ursache der beschriebenen Probleme ist die Natur von HTTP – ein Protokoll, das ursprünglich dafür konzipiert war, statische Seiten in einem Wissenschaftsnetzwerk auszuliefern. Auf modernden Webseiten ist es aber üblich, dass man nicht nur Inhalte liest, sondern selbst Inhalte schreibt oder Aktionen in der realen Welt über den Browser auslöst.

Für solche Anwendungen ist es entscheidend, dass sich der Benutzer zunächst anmeldet, klassisch mit Benutzername und Kennwort. HTTP ist statuslos, die Verbindung wird also nach jeder Übertragung eines Datensatzes, HTML-Dokuments oder Bildes geschlossen. Folgende Aufrufe kann der Server keinen vorangegangenen zuordnen. Damit der Nutzer nicht bei jedem Aufruf einer Ressource sein Kennwort wieder eintippen muss, braucht man ein Verfahren, um angemeldete Nutzer wiederzuerkennen. Viele Webseiten arbeiten mit einer Technik, die alle Browser schon seit Jahrzehnten unterstützen: Bei der erfolgreichen Anmeldung schickt der Server per HTTP-Header eine Zeichenkette an den Browser, das sogenannte Cookie. Der Header enthält zusätzlich die Information, für welche Domain dieses Cookie bestimmt ist und wie lange es gültig sein soll.

Der Browser verwahrt das Cookie bis zum Ablauf der angegebenen Zeit in seinem Speicher und sendet es vollautomatisch immer dann im Header mit, wenn er einen HTTP-Aufruf an die dazugehörige Domain machen soll. Anhand der Zeichenkette des Cookies kann der Server erkennen, dass es sich um die angemeldete Sitzung eines Nutzers handelt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Java 22 vorgestellt: Update reduziert Boilerplate-Code

Neben Ergänzungen im Project Loom bringt das neue JDK Funktionen für eine knappere Syntax, String Templates und das bessere Zusammenspiel mit anderen Sprachen.

Smart Generator von Ecoflow im Test

Mit fossilen Energieträgern kann Notstrom erzeugt werden. Der Generator von EcoFlow lässt sich dabei mit anderen Produkten des Herstellers smart vernetzen.

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

UpdateTesla Model 3 Highland im Test: Das bringt das Facelift

Tesla überarbeitet das Model 3 und beseitigt einige Schwächen. Doch bei Ladeleistung und Assistenz müsste Tesla nachlegen.

Tesla Model Y im Test

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Java 22 vorgestellt: Update reduziert Boilerplate-Code

Neben Ergänzungen im Project Loom bringt das neue JDK Funktionen für eine knappere Syntax, String Templates und das bessere Zusammenspiel mit anderen Sprachen.

Smart Generator von Ecoflow im Test

Mit fossilen Energieträgern kann Notstrom erzeugt werden. Der Generator von EcoFlow lässt sich dabei mit anderen Produkten des Herstellers smart vernetzen.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

UpdateTesla Model 3 Highland im Test: Das bringt das Facelift

Tesla überarbeitet das Model 3 und beseitigt einige Schwächen. Doch bei Ladeleistung und Assistenz müsste Tesla nachlegen.

Tesla Model Y im Test

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

HTTP: Cross-Site-Zugriffe mit CORS gezielt steuern

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Java 22 vorgestellt: Update reduziert Boilerplate-Code

Smart Generator von Ecoflow im Test

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

UpdateTesla Model 3 Highland im Test: Das bringt das Facelift

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Java 22 vorgestellt: Update reduziert Boilerplate-Code

Smart Generator von Ecoflow im Test

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

UpdateTesla Model 3 Highland im Test: Das bringt das Facelift

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.