HTTP Access-Control-Allow-Methods: CORS HTTP-Methoden

Der HTTP-Header Access-Control-Allow-Methods ist ein Response-Header in Preflight-Requests, der angibt, welche HTTP-Methoden im tatsächlichen Cross-Origin-Request verwendet werden dürfen. Er ist erforderlich für alle Methoden außer GET, HEAD und POST mit Standard-Content-Types.

Typ

Response-Header

Syntax

Der Header listet die erlaubten HTTP-Methoden als kommaseparierte Liste auf.

http

Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Methods: *

Direktiven

Die Direktiven definieren, welche HTTP-Methoden im Cross-Origin-Request genutzt werden dürfen.

<method>: Name einer HTTP-Methode (GET, POST, PUT, DELETE, PATCH, OPTIONS, HEAD). Case-sensitive, mehrere Werte kommasepariert.
*: Wildcard für alle Methoden außer explizit eingeschränkten. Funktioniert nur ohne Credentials.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Access-Control-Allow-Methods-Header.

Beispiel 1 RESTful CRUD API

http

Access-Control-Allow-Methods: GET, POST, PUT, PATCH, DELETE

API erlaubt vollständigen CRUD-Zugriff über alle REST-Methoden für Cross-Origin-Clients.

Beispiel 2 Read-Only API

http

Access-Control-Allow-Methods: GET, HEAD, OPTIONS

Öffentliche API erlaubt nur lesende Zugriffe, keine Datenmanipulation durch Cross-Origin-Requests.

Beispiel 3 Wildcard fuer flexible API

http

Access-Control-Allow-Methods: *
Access-Control-Allow-Origin: *

Offene API erlaubt alle HTTP-Methoden. Keine Credentials möglich bei Wildcard-Konfiguration.

CORS Method Validation Flow

CORS Preflight zur Validierung der HTTP-Methode

Vorteile für die Systemarchitektur

Granulare Zugriffskontrolle: Verschiedene Clients können unterschiedliche Methoden-Sets erhalten
API-Sicherheit: Verhindert ungewollte Datenmanipulation durch eingeschränkte Methoden-Freigabe
Flexible Integration: Read-Only-Clients und Full-Access-Clients können dieselbe API nutzen

Spezifikation

Fetch Standard – CORS Protocol and HTTP-Access-Control-Allow-Methods https://fetch.spec.whatwg.org/#http-access-control-allow-methods

Weitere Spezifikationen

Access-Control-Allow-Origin Header, Access-Control-Request-Method Header, OPTIONS Method

Business Case Entwicklung

API-Roadmap Erstellung

API-Maturity-Analyse

Plattform-Auswahl

Monetarisierungsstrategie

Ökosystem-Entwicklung

API-First Design

RESTful API-Entwicklung

GraphQL-Implementierung

WebSocket-APIs

API-Versionierung

OAuth-Implementierung

API-Audit & Logging

JWT & Token-Authentifizierung

Zero Trust API

API Gateway Setup

API-Monitoring & Analytics

Developer Portal Setup

API Performance Booster

API-Lifecycle-Governance

Finanzdienstleistungen

Energieversorger

E-Commerce

Fertigung & Industrie

Cloud-Integration

Microservices

Legacy-Integration

Mobile Backend

HTTP Access-Control-Allow-Methods Header

Typ

Syntax

Direktiven

Beispiele

Beispiel 1 RESTful CRUD API

Beispiel 2 Read-Only API

Beispiel 3 Wildcard fuer flexible API

CORS Method Validation Flow

Vorteile für die Systemarchitektur

Spezifikation

Weitere Spezifikationen