Kort fortalt: Hvis du måler performance i browseren med Resource Timing API eller RUM, kan du få “blinde pletter” når filer hentes fra et andet domæne. Timing-Allow-Origin (TAO) er headeren der kan åbne for de timings, så du kan se hvor tiden går.
Hvis du er ny på området
Mange websites henter kritiske ressourcer fra andre hosts:
- CDN til billeder, CSS eller fonts
- subdomæner til API’er
- tredjeparts scripts
Browseren beskytter brugeren ved at begrænse hvilke detaljer du kan læse om cross-origin ressourcer. Derfor kan et RUM-script ofte se at “noget tog lang tid”, men ikke hvad.
TAO gør det muligt at se flere timing-detaljer – når serveren for den cross-origin ressource eksplicit tillader det.
Hvornår det betyder noget i praksis
Timing-Allow-Origin er især nyttig når:
- du vil dokumentere at en tredjepart eller et CDN er flaskehalsen
- du bruger
Server-Timingpå tværs af domæner og vil kunne læseserverTimingvia Performance API - du har flyttet assets til et nyt domæne og vil sammenligne før/efter i feltdata
Typiske misforståelser
- “Det er CORS”: Nej. CORS styrer om du må hente/læse data. TAO styrer om du må læse timing.
- “Det er altid nødvendigt”: Nej. Hvis alt ligger på samme origin, får du timing-data uden TAO.
- “TAO løser INP”: Nej. Det hjælper dig med at måle netværk/ressourcer. INP handler primært om main thread og handlers.
Sammenhæng med andre begreber
- Resource Timing API – det du typisk prøver at bruge TAO sammen med.
- Server-Timing – server-side metrics, der også kan blive utilgængelige uden korrekt opsætning på tværs af domæner.
- Tredjeparts-scripts – ofte den konkrete årsag til at du har brug for bedre timing-synlighed.
Videre på sitet
- Guide: Find lange tasks i DevTools – når netværk er ok, men interaktion er tung.
- Blog: Tredjeparts scripts og hastighed – når det er leverandører der skaber kæden.
FAQ
Skal jeg bruge Timing-Allow-Origin på et almindeligt site?
Kun hvis du måler performance i felt (RUM) og har vigtige assets eller API-kald fra andre domæner. For mange sites er det især relevant ved CDN, tredjepart og server timing.
Er det det samme som CORS?
Nej. CORS handler om adgang til data. Timing-Allow-Origin handler om adgang til timing-målinger. De to headers bruges ofte sammen, men løser forskellige problemer.
Er der en risiko ved at slå det til?
Du afslører mere timing-information om dine responses. Det er sjældent følsomt alene, men du bør stadig være bevidst om hvad du gør synligt og for hvilke origins.
Eksterne kilder
MDN reference for headeren og tilknyttede performance-API’er.
Næste skridt fra begreb til handling
Guides og blogindlæg der matcher begrebets emne - ud fra fælles tags og sidens fokus.
Fjern eller udsæt tunge tredjeparts scripts uden at ødelægge funktionalitet
Følg en praktisk guide til at finde, vurdere og udsætte tredjeparts scripts, så de ikke ødelægger LCP, INP og den samlede brugeroplevelse.
Sådan finder du lange tasks i DevTools og forbedrer INP
Lær hvordan du bruger DevTools til at finde lange tasks, tunge event handlers og JavaScript der gør siden træg at bruge.
Optimer cookie banner uden CLS og INP problemer
Lær hvordan du bygger eller justerer cookie bannere, så de ikke skubber indhold, blokerer interaktion eller gør siden tungere end nødvendigt.
Hvordan tredjeparts scripts gør din hjemmeside langsom
Få overblik over hvordan chat widgets, tracking, consent, video embeds og andre tredjeparts scripts påvirker LCP, INP, CLS og TTFB.
Cookie banner og Core Web Vitals: den oversete årsag til dårlig brugeroplevelse
Se hvordan cookie bannere og consent scripts kan påvirke load, layout og interaktion, og lær hvordan du undgår at de ødelægger brugeroplevelsen.
Sådan læser du en waterfall og finder flaskehalse i load
Lær at læse en waterfall korrekt og find problemer med TTFB, LCP, render blocking og tredjepart, så du kan prioritere den rigtige optimering.
