Ratgeber: HTML5 sicher einsetzen

Zugriffskontrolle je nach Header

Der HTTP-Header-Eintrag Access-Control-Allow-Origin setzt ein gewisses Vertrauen voraus - und wer das nicht richtig einschätzt, kann unter Umständen in Teufels Küche kommen.

Der Header legt nämlich nur fest, dass die HTTP-Anfrage von der festgelegten Domain kommen darf - er garantiert nicht, dass sie es auch tut. Der Zugriff könnte zum Beispiel auch von einem Perl-Skript kommen, das die Original-Domain vortäuscht. Deshalb gilt die eiserne Regel: Nicht authentifizierten Cross Origin Requests sollten Sie niemals vertrauen.

Sobald es um die Übermittlung sensibler Daten geht, sollte die Anfrage unter Verwendung der credentials-Schalter erfolgen. Außerdem muss ein Cookie mit der gültigen Session-ID des Nutzers übertragen werden. Erst nach Prüfung des Cookies darf die COR ausgeführt werden.