Access-Control-Allow-Origin

L'entête Access-Control-Allow-Origin renvoie une réponse indiquant si les ressources peuvent être partagées avec une origine donnée.

Header type Response header
Forbidden header name no

Syntaxe

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origin>
Access-Control-Allow-Origin: null

Directives

*

Pour les demandes sans informations d'identification, le serveur peut spécifier « * » comme un caractère générique, permettant ainsi à n'importe quelle origine d'accéder à la ressource.

<origin>

Spécifie un URI qui peut accéder à la ressource. Il n'est possible de spécifier qu'une seule origine.

Exemples

Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :

Access-Control-Allow-Origin: *

Pour permettre https://developer.mozilla.org d'accéder à vos ressources, vous pouvez indiquer :

Access-Control-Allow-Origin: https://developer.mozilla.org

CORS et le cache

Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "Origin" dans l'en-tête de réponse "Vary" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Spécifications

Specification
Fetch Standard
# http-access-control-allow-origin

Compatibilité des navigateurs

BCD tables only load in the browser

Voir aussi