{"id":7307,"date":"2024-02-14T17:21:51","date_gmt":"2024-02-14T15:21:51","guid":{"rendered":"https:\/\/churchtools.academy\/?post_type=docs&p=7307"},"modified":"2026-02-09T12:25:26","modified_gmt":"2026-02-09T11:25:26","password":"","slug":"0-cors","status":"publish","type":"docs","link":"https:\/\/churchtools.academy\/de\/help\/system-einstellungen\/api\/0-cors\/","title":{"rendered":"CORS"},"content":{"rendered":"\n

CORS steht f\u00fcr Cross-Origin Resource Sharing (MDN<\/a>). Das ist eine Security Policy, die in Browsern eingebaut ist, um den Nutzer zu sch\u00fctzen. Ganz einfach gesprochen hei\u00dft das, dass eine Webseite nicht einfach fremde Ressourcen (nach)laden kann, die nicht zur eigenen Domain geh\u00f6ren oder explizit erlaubt sind.<\/p>\n\n\n\n

Beispiel<\/strong><\/h2>\n\n\n\n

Deine eigene Kirchenwebsite ist unter https:\/\/meine-gemeinde-website.de<\/code> erreichbar. Alle Ressourcen, CSS, JS oder Bilder werden von dieser Domain ausgeliefert. Sprich, das Headerbild zum Beispiel w\u00e4re \u00fcber die URL https:\/\/meine-gemeinde-website.de\/header.jpg<\/code> anzusehen. Der Browser erlaubt in diesem Fall, dass das Headerbild geladen wird, weil die Domain dieselbe ist.<\/p>\n\n\n\n

Versucht die Webseite, Daten von ChurchTools nachzuladen, um z. B. die Kontaktdaten des Pastors anzuzeigen, dann muss die API https:\/\/meine-gemeinde.church.tools\/api\/persons\/1<\/code> aufgerufen werden. Hier gibt es zwei Szenarien, die unterschieden werden m\u00fcssen:<\/p>\n\n\n\n

Backendseitiger Aufruf<\/h3>\n\n\n\n

Wenn deine Kirchenwebseite die Kontaktdaten \u00fcber die ChurchTools API \u00fcber den eigenen Server abruft (PHP, NodeJS, etc.) gibt es keine Probleme. Der Aufruf wird als sicher deklariert, weil es der eigene Server ist und hier keiner sonst Zugriff hat.<\/p>\n\n\n\n

Frontendseitiger Aufruf<\/h3>\n\n\n\n

Wird die ChurchTools API \u00fcber das Frontend aufgerufen (Vanilla JS, jQuery, Angular, Vue oder mittels HTML Tags), dann pr\u00fcft der Browser, ob das Laden erlaubt ist. Der Browser tut das, damit der Nutzer nicht fremde Inhalte l\u00e4dt, die ihm ggf. ein Angreifer untergejubelt hat. Der Browser fragt also ChurchTools, ob deine Website mit der Domain meine-gemeinde-website.de<\/code> die Erlaubnis hat, diese Daten zu laden.<\/p>\n\n\n\n

Standardm\u00e4\u00dfig ist das nicht erlaubt. Somit wird der API-Call fehlschlagen und es gelangen keine Daten auf die Webseite.<\/p>\n\n\n\n

CORS Header setzen<\/h2>\n\n\n\n

Damit der API-Call \u00fcber das Frontend gelingt, muss ChurchTools bestimmte CORS Header in der Antwort mitschicken, die explizit alle Webseiten auflistet, die diesen Call ausf\u00fchren d\u00fcrfen.<\/p>\n\n\n\n

Die erlaubten URLs, auch Access Control Allow Origins (4) genannt, kannst du in den System-Einstellungen (1) unter Integrationen <\/em>(2) > Cross-Origin-Ressource-Sharing<\/em> (3) einstellen und verwalten.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n