Access-Control-Allow-Origin

El encabezado de respuesta Access-Control-Allow-Origin indica si los recursos de la respuesta pueden ser compartidos con el origen dado.

Tipo de encabezado Encabezado de respuesta
Nombre de encabezado prohibido no

Sintaxis

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origen>
Access-Control-Allow-Origin: null

Directivas

*
Para las peticiones sin credenciales, el servidor puede especificar el caracter "*" como un comodín, permitiendo a cualquier origen acceder al recurso. El acceso será permitido solamente para las peticiones hechas con el atributo crossorigin definido como "anonymous". Intentar usar el comodín con credenciales resultará en un error.

<origen>
Especifica que origen puede acceder al recurso. Sólo se puede especificar un origen.

Ejemplos

Para permitir a cualquier origen el acceso a tus recursos, puedes especificar:

Access-Control-Allow-Origin: *

Una respuesta que le dice al navegador que permita la petición de código del origen https://developer.mozilla.org para acceder a los recursos que incluyan lo siguiente:

Access-Control-Allow-Origin: https://developer.mozilla.org

Limitando los posibles valores Access-Control-Allow-Origin de un conjunto de orígenes permitidos requiere código del lado del servidor para revisar el valor de la encabezado de petición Origin, comparan con la lista de valores permitidos, y entonces si el valor Origin se encuentra en la lista, para definir el valor de Access-Control-Allow-Origin al mismo valor que Origin.

CORS y caché

Si el servidor envía una respuesta con un valor Access-Control-Allow-Origin que es un origen explícito (en lugar del comodín "*"), entonces a respuesta debería incluir también el encabezado de respuesta Vary con el valor origin - para indicar a los navegadores que las respuestas del servidor pueden diferir basadas en el valor del encabezado de respueta Origin.

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Especificaciones

Especificación Estado Comentario
Fetch
La definición de 'Access-Control-Allow-Origin' en esta especificación.
Living Standard Definición Inicial.

Compatibilidad del Navegador

Update compatibility data on GitHub
DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewChrome para AndroidFirefox para AndroidOpera para AndroidSafari en iOSSamsung Internet
Access-Control-Allow-OriginChrome Soporte completo 4Edge Soporte completo 12Firefox Soporte completo 3.5IE Soporte completo 10Opera Soporte completo 12Safari Soporte completo 4WebView Android Soporte completo 2Chrome Android Soporte completo SiFirefox Android Soporte completo 4Opera Android Soporte completo 12Safari iOS Soporte completo 3.2Samsung Internet Android Soporte completo Si

Leyenda

Soporte completo  
Soporte completo

Veáse también