HTTP Access-Control-Max-Age Header

Der HTTP-Header Access-Control-Max-Age ist ein Response-Header in Preflight-Requests, der angibt, wie lange das Ergebnis des Preflight-Requests im Browser gecacht werden darf. Er reduziert die Anzahl der OPTIONS-Requests und verbessert die Performance.

Typ

Response-Header

Syntax

Der Header gibt die Cache-Dauer in Sekunden an.

http 
Access-Control-Max-Age: 86400
Access-Control-Max-Age: 3600

Direktiven

Die Direktive definiert die maximale Cache-Dauer für Preflight-Ergebnisse.

<delta-seconds>
Anzahl Sekunden, die der Browser das Preflight-Ergebnis cachen darf. Wert 0 deaktiviert Caching.
-1
Ungültiger Wert, Browser verwenden Default-Timeout (typisch 5 Sekunden).

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Access-Control-Max-Age-Header.

Beispiel 1 Cache fuer 24 Stunden

http 
Access-Control-Max-Age: 86400

Preflight-Ergebnis wird 24 Stunden gecacht. Nachfolgende Requests benötigen keinen OPTIONS-Request.

Beispiel 2 Kurzes Caching fuer Development

http 
Access-Control-Max-Age: 600

Development-API cacht Preflight nur 10 Minuten, ermöglicht schnellere Iterations-Zyklen bei CORS-Änderungen.

Beispiel 3 Kein Caching

http 
Access-Control-Max-Age: 0

Jeder Request erfordert neuen Preflight. Nützlich für dynamische CORS-Policies oder Debugging.

CORS Preflight Caching Flow

CORS Preflight Caching zur Performance-Optimierung

Vorteile für die Systemarchitektur

  • Reduzierte Latenz: Eliminiert OPTIONS-Requests bei wiederholten Cross-Origin-Anfragen
  • Geringere Server-Last: Weniger Preflight-Requests bedeuten niedrigere API-Traffic-Kosten
  • Bessere User Experience: Schnellere Response-Zeiten durch Vermeidung zusätzlicher Roundtrips

Spezifikation

Fetch Standard – CORS Protocol and HTTP-Access-Control-Max-Age https://fetch.spec.whatwg.org/#http-access-control-max-age

Weitere Spezifikationen

OPTIONS Method, Access-Control-Allow-Methods Header