HTML-Attribut: crossorigin

Das crossorigin-Attribut, gültig für die <audio>, <img>, <link>, <script>, und <video>-Elemente, unterstützt CORS und definiert, wie das Element mit Cross-Origin-Anfragen umgeht. Dadurch wird die Konfiguration von CORS-Anfragen für die vom Element geladenen Daten ermöglicht. Je nach Element kann das Attribut ein CORS-Einstellungsattribut sein.

Das crossorigin-Inhaltsattribut für Medienelemente ist ein CORS-Einstellungsattribut.

Diese Attribute sind enumeriert und haben die folgenden möglichen Werte:

anonymous

Die Anfrage verwendet CORS-Header und das credentials-Flag ist auf 'same-origin' gesetzt. Es erfolgt kein Austausch von Benutzeranmeldeinformationen über Cookies, clientseitige TLS-Zertifikate oder HTTP-Authentifizierung, es sei denn, das Ziel ist derselbe Ursprung.

use-credentials

Die Anfrage verwendet CORS-Header, das credentials-Flag ist auf 'include' gesetzt und Benutzeranmeldeinformationen werden immer einbezogen.

""

Wenn der Attributname auf einen leeren Wert gesetzt wird, wie crossorigin oder crossorigin="", ist dies dasselbe wie anonymous.

Ein ungültiges Schlüsselwort und ein leerer String werden als das anonymous-Schlüsselwort behandelt.

Standardmäßig (also wenn das Attribut nicht angegeben ist) wird CORS überhaupt nicht verwendet. Der Nutzeragent wird nicht um Erlaubnis für den vollen Zugriff auf die Ressource bitten, und im Falle einer Cross-Origin-Anfrage werden Einschränkungen basierend auf dem betreffenden Elementtyp angewendet:

Element	Einschränkungen
img, audio, video	Wenn die Ressource in <canvas> platziert wird, wird das Element als tainted markiert.
script	Der Zugriff auf die Fehlerprotokollierung über [`window.onerror`](/de/docs/Web/API/Window/error_event) wird eingeschränkt.
link	Eine Anfrage ohne geeignetes crossorigin-Header könnte verworfen werden.

<script
  src="https://example.com/example-framework.js"
  crossorigin="anonymous"></script>

<link rel="manifest" href="/app.webmanifest" crossorigin="use-credentials" />