Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

CORS für REST APIs im API Gateway

RSS
Fokusmodus
CORS für REST APIs im API Gateway - Amazon API Gateway
Feststellung, ob die CORS-Unterstützung aktiviert werden sollAktivieren von CORS für eine einfache AnfrageAktivieren von CORS für eine nicht einfache AnfrageAktivieren der CORS-Unterstützung für Proxy-Integrationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Cross-Origin Resource Sharing (CORS) ist eine Browser-Sicherheitsfunktion, die Cross-Origin-HTTP-Anfragen einschränkt, die von Skripts eingeleitet werden, die im Browser ausgeführt werden. Weitere Informationen finden Sie unter Was ist CORS?.

Feststellung, ob die CORS-Unterstützung aktiviert werden soll

Cross-Origin-HTTP-Anfragen zielen auf Folgendes:

  • Eine andere Domäne (z. B. von example.com an amazondomains.com)

  • Eine andere Subdomäne (z. B. von example.com an petstore.example.com)

  • Ein anderer Port (z. B. von example.com an example.com:10777)

  • Ein anderes Protokoll (z. B. von https://example.com an http://example.com)

Wenn Sie nicht auf Ihre API zugreifen können und eine Fehlermeldung erhalten, die Cross-Origin Request Blocked enthält, müssen Sie möglicherweise CORS aktivieren.

Cross-Origin-HTTP-Anfragen lassen sich in zwei Arten unterteilen: einfache und nicht einfache Anfragen.

Aktivieren von CORS für eine einfache Anfrage

Eine HTTP-Anfrage ist einfach, wenn alle der folgenden Bedingungen erfüllt sind:

  • Sie wird für eine API-Ressource gestellt, die nur GET-, HEAD- und POST-Anfragen erlaubt.

  • Wenn es sich um eine POST-Methodenanfrage handelt, muss sie einen Origin-Header enthalten.

  • Der Anfragenutzlast-Inhaltstyp ist text/plain, multipart/form-data oder application/x-www-form-urlencoded.

  • Die Anfrage enthält keine benutzerdefinierten Header.

  • Alle weiteren Anforderungen, die in der Mozilla CORS-Dokumentation für einfache Anfragen aufgelistet sind.

Bei einfachen quellenübergreifenden POST-Methodenanfragen muss die Antwort Ihrer Ressource den Header Access-Control-Allow-Origin: '*' oder Access-Control-Allow-Origin:'origin' enthalten.

Alle anderen Cross-Origin-HTTP-Anfragen sind nicht einfache Anfragen.

Aktivieren von CORS für eine nicht einfache Anfrage

Wenn die Ressourcen Ihrer API nicht einfache Anfragen erhalten, müssen Sie je nach Integrationstyp zusätzliche CORS-Unterstützung aktivieren.

Aktivieren von CORS für Integrationen ohne Proxy

Für diese Integrationen erfordert das CORS-Protokoll, dass der Browser eine Preflight-Anfrage an den Server sendet und auf die Genehmigung (oder Anforderung der Anmeldeinformationen) vom Server wartet, bevor die tatsächliche Anfrage gesendet wird. Sie müssen Ihre API so konfigurieren, dass sie eine entsprechende Antwort auf die Preflight-Anfrage sendet.

So erstellen Sie eine Preflight-Antwort:

  1. Erstellen Sie eine OPTIONS-Methode mit einer Mock-Integration.

  2. Fügen Sie der Antwort der Methode 200 die folgenden Antwort-Header hinzu:

    • Access-Control-Allow-Headers

    • Access-Control-Allow-Methods

    • Access-Control-Allow-Origin

  3. Setzen Sie das Integrations-Pass-Through-Verhalten auf NEVER. In diesem Fall wird die Methodenanforderung eines nicht zugeordneten Inhaltstyps mit der Antwort „HTTP 415 Unsupported Media Type“ zurückgewiesen. Weitere Informationen finden Sie unter Verhalten bei Methodenanfragen für Payloads ohne Zuordnungsvorlagen für REST APIs in API Gateway.

  4. Geben Sie Werte für die Antwort-Header ein. Verwenden Sie die folgenden Header-Werte, um alle Ursprünge, alle Methoden und allgemeine Header zuzulassen:

    • Access-Control-Allow-Headers: 'Content-Type,X-Amz-Date,Authorization,X-Api-Key,X-Amz-Security-Token'

    • Access-Control-Allow-Methods: 'DELETE,GET,HEAD,OPTIONS,PUT,POST,PATCH'

    • Access-Control-Allow-Origin: '*'

Nachdem Sie die Preflight-Anfrage erstellt haben, müssen Sie den Access-Control-Allow-Origin: '*'- oder Access-Control-Allow-Origin:'origin'-OR-Header für alle CORS-fähigen Methoden für mindestens alle 200 Antworten zurückgeben.

Aktivierung von CORS für Nicht-Proxy-Integrationen mit dem AWS Management Console

Sie können den verwenden, um CORS AWS Management Console zu aktivieren. API Gateway erstellt eine OPTIONS-Methode und fügt den Access-Control-Allow-Origin-Header zu Ihren vorhandenen Methodenintegrationsantworten hinzu. Dies funktioniert nicht immer und manchmal müssen Sie die Integrationsantwort manuell ändern, um den Access-Control-Allow-Origin-Header für alle CORS-fähigen Methoden für mindestens alle 200 Antworten zurückzugeben.

Aktivieren der CORS-Unterstützung für Proxy-Integrationen

Bei einer Lambda-Proxy-Integration oder einer HTTP-Proxy-Integration ist Ihr Backend für die Rückgabe der Header Access-Control-Allow-OriginAccess-Control-Allow-Methods und Access-Control-Allow-Headers verantwortlich, da eine Proxy-Integration keine Integrationsantwort zurückgibt.

Die folgenden Beispiel-Lambda-Funktionen geben die erforderlichen CORS-Header zurück:

Node.js
export const handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Headers" : "Content-Type",
            "Access-Control-Allow-Origin": "https://www.example.com",
            "Access-Control-Allow-Methods": "OPTIONS,POST,GET"
        },
        body: JSON.stringify('Hello from Lambda!'),
    };
    return response;
};
Python 3
import json

def lambda_handler(event, context):
    return {
        'statusCode': 200,
        'headers': {
            'Access-Control-Allow-Headers': 'Content-Type',
            'Access-Control-Allow-Origin': 'https://www.example.com',
            'Access-Control-Allow-Methods': 'OPTIONS,POST,GET'
        },
        'body': json.dumps('Hello from Lambda!')
    }
anchoranchor
export const handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Headers" : "Content-Type",
            "Access-Control-Allow-Origin": "https://www.example.com",
            "Access-Control-Allow-Methods": "OPTIONS,POST,GET"
        },
        body: JSON.stringify('Hello from Lambda!'),
    };
    return response;
};
Themen

Auf dieser Seite

Related resources

Amazon API Gateway API-Referenz
AWS CLI Befehle für Amazon API Gateway
SDKs und Werkzeuge 

Related resources

Amazon API Gateway API-Referenz
AWS CLI Befehle für Amazon API Gateway
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.