crosssorigin: attributo HTML
L'attributo crossorigin, valido sugli elementi <audio>
<img>
, <link>
, <script>
e <video>
fornisce supporto per CORS, definendo il modo in cui l'elemento gestisce le richieste tra origini, abilitando così la configurazione delle richieste CORS per i dati recuperati dell'elemento.A seconda dell'elemento, l'attributo può essere un attributo delle impostazioni CORS.
L'attributo crossorigin
contenuto sugli elementi multimediali è un attributo delle impostazioni CORS.
Questi attributi sono enumerati e hanno i seguenti valori possibili:
anonymous
La richiesta utilizza intestazioni CORS e il flag delle credenziali è impostato su 'same-origin'. Non c'è scambio di credenziali utente tramite cookie, certificati SSL lato client o autenticazione HTTP, a meno che la destinazione non sia la stessa origine.
use-credentials
La richiesta utilizza le intestazioni CORS, il flag delle credenziali è impostato su 'include'e le credenziali dell'utente sono sempre incluse.
L'impostazione del nome dell'attributo su un valore vuoto, come crossorigin
o crossorigin=""
, è la stessa di anonymous
.
Una parola chiave non valida e una stringa vuota verranno gestite come anonymousparola chiave.
Per impostazione predefinita (ovvero, quando l'attributo non è specificato), CORS non viene utilizzato affatto. Lo user agent non chiederà il permesso per l'accesso completo alla risorsa e in caso di richiesta cross-origine verranno applicate alcune limitazioni in base al tipo di elemento interessato:
Elemento | Restrizioni |
<img> , <audio> , <video> |
Quando la risorsa viene inserita <canvas> , l'elemento viene contrassegnato come contaminato . |
<script> |
L'accesso alla registrazione degli errori tramite window.onerror sarà limitato. |
<link> |
La richiesta senza un'intestazione crossorigin appropriata può essere eliminata. |
Esempio di crossorigin con l'elemento <script>
È possibile utilizzare il seguente <script>
per indicare a un browser di eseguire lo https://example.com/example-framework.js script senza inviare credenziali utente.
<script src="https://example.com/example-framework.js"
crossorigin="anonymous"> </script>