Access-Control-Allow-Origin

El encabezado de respuesta Access-Control-Allow-Origin indica si los recursos de la respuesta pueden ser compartidos con el origen dado.

Tipo de encabezado Encabezado de respuesta
Nombre de encabezado prohibido no

Sintaxis

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origen>
Access-Control-Allow-Origin: null

Directivas

*
Para las peticiones sin credenciales, el servidor puede especificar el caracter "*" como un comod铆n, permitiendo a cualquier origen acceder al recurso. El acceso ser谩 permitido solamente para las peticiones hechas con el atributo crossorigin definido como "anonymous". Intentar usar el comod铆n con credenciales resultar谩 en un error.

<origen>
Especifica que origen puede acceder al recurso. S贸lo se puede especificar un origen.

Ejemplos

Para permitir a cualquier origen el acceso a tus recursos, puedes especificar:

Access-Control-Allow-Origin: *

Una respuesta que le dice al navegador que permita la petici贸n de c贸digo del origen https://developer.mozilla.org para acceder a los recursos que incluyan lo siguiente:

Access-Control-Allow-Origin: https://developer.mozilla.org

Limitando los posibles valores Access-Control-Allow-Origin de un conjunto de or铆genes permitidos requiere c贸digo del lado del servidor para revisar el valor de la encabezado de petici贸n Origin, comparan con la lista de valores permitidos, y entonces si el valor Origin se encuentra en la lista, para definir el valor de Access-Control-Allow-Origin al mismo valor que Origin.

CORS y cach茅

Si el servidor env铆a una respuesta con un valor Access-Control-Allow-Origin que es un origen expl铆cito (en lugar del comod铆n "*"), entonces a respuesta deber铆a incluir tambi茅n el encabezado de respuesta Vary con el valor origin - para indicar a los navegadores que las respuestas del servidor pueden diferir basadas en el valor del encabezado de respueta Origin.

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Especificaciones

Especificaci贸n Estado Comentario
Fetch
La definici贸n de 'Access-Control-Allow-Origin' en esta especificaci贸n.
Living Standard Definici贸n Inicial.

Compatibilidad del Navegador

BCD tables only load in the browser

Ve谩se tambi茅n