ArchitekturTech

CORS: Warum der Browser dich vor deiner eigenen API schützt

Borzsport Redaktion · Datenanalyse & Technologie08. März 20267 Min. Lesezeit

Same-Origin Policy

Browser haben eine eingebaute Regel: Code von evil.com darf keine Daten von borzsport.at lesen. Punkt. Diese Same-Origin Policy schützt dich vor Cross-Site-Datendiebstahl.

CORS Whitelist

CORS erlaubt dem Server zu sagen: “Requests von diesen Origins sind OK.” Borzsport nutzt eine strenge Whitelist statt *:

// Erlaubt:
https://borzsport.at
https://www.borzsport.at
/^https:\/\/borzsport[a-z0-9-]*\.vercel\.app$/  (Preview Deployments)
http://localhost:*  (nur Development)

Die Regex ist bewusst streng: Nur borzsport-Präfixe, nicht beliebige Vercel-Apps.

Preflight Requests

Für “nicht-einfache” Requests (PUT, DELETE, Custom Headers) sendet der Browser einen OPTIONS-Preflight. Ohne korrekte Antwort blockt der Browser den eigentlichen Request — auch wenn der Server ihn akzeptieren würde.

Interaktiver Test

Teste verschiedene Origins und Methoden gegen die Borzsport-API-Whitelist:

INTERAKTIV

CORS Request Simulator

Wähle Origin und HTTP-Methode und sieh, ob die Borzsport-API den Request erlaubt.

Origin

HTTP Methode

X-API-Key Header (Custom Header → Preflight required)

GET /api/fighters/search
Origin: https://borzsport.at

✅ Erlaubt

In Whitelist enthalten

Access-Control-Allow-Origin: https://borzsport.at

Fazit

CORS steht für Cross-Origin Resource Sharing. Es ist ein Mechanismus, der es Servern erlaubt, zu spezifizieren, welche Origins auf ihre Ressourcen zugreifen dürfen.