So beheben Sie einen CORS-Fehler (auf die sichere Art)
Die schnellste „Lösung“ für einen CORS-Fehler – alle Ursprünge mit einem Wildcard zu erlauben – ist zugleich ein Sicherheitsloch: Sie lässt jede Website Ihre API aus dem Browser eines Opfers aufrufen. Die richtige Lösung erlaubt nur die Ursprünge, denen Sie vertrauen.
Schritt für Schritt
- 1
Verstehen Sie, was CORS schützt
CORS steuert, welche Web-Ursprünge Antworten Ihrer API im Browser lesen dürfen. Ein Wildcard („*“) oder das Spiegeln jedes Origin deaktiviert diesen Schutz.
- 2
Setzen Sie bestimmte Ursprünge auf die Allowlist
Setzen Sie Access-Control-Allow-Origin auf Ihre genauen Frontend-Ursprünge – z. B. https://app.example.com – nicht auf „*“. Pflegen Sie serverseitig eine Liste vertrauenswürdiger Ursprünge.
- 3
Vorsicht bei Anmeldedaten
Wenn Sie Cookies senden, können Sie „*“ nicht verwenden – Sie müssen einen bestimmten erlaubten Origin spiegeln und Access-Control-Allow-Credentials: true nur für vertrauenswürdige Ursprünge setzen.
- 4
Verifizieren Sie mit unserem CORS-Checker
Prüfen Sie Ihren Endpunkt erneut, um zu bestätigen, dass er keine beliebigen Ursprünge mehr erlaubt und dass Anfragen mit Anmeldedaten auf Ursprünge beschränkt sind, denen Sie vertrauen.
Wollen Sie es verifiziert, nicht nur behoben?
Die Behebung ist der erste Schritt. Eine ClearedToShip-Prüfung bestätigt, dass die Korrektur tatsächlich hält, und gibt Ihnen eine unterschriebene, versicherte Freigabe zum Launch. Sichern Sie sich Early Access: