Access-Control-Allow-Origin
L'entête Access-Control-Allow-Origin
renvoie une réponse indiquant si les ressources peuvent être partagées avec une origine donnée.
Header type | Response header |
---|---|
Forbidden header name | no |
Syntaxe
Access-Control-Allow-Origin: * Access-Control-Allow-Origin: <origin> Access-Control-Allow-Origin: null
Directives
- *
- Pour les demandes sans informations d’identification, le serveur peut spécifier « * » comme un caractère générique, permettant ainsi à n’importe quelle origine d'accéder à la ressource.
- <origin>
- Spécifie un URI qui peut accéder à la ressource. Il n'est possible de spécifier qu'une seule origine.
Exemples
Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :
Access-Control-Allow-Origin: *
Pour permettre https://developer.mozilla.org
d'accéder à vos ressources, vous pouvez indiquer :
Access-Control-Allow-Origin: https://developer.mozilla.org
CORS et le cache
Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "Origin" dans l'en-tête de réponse "Vary" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.
Access-Control-Allow-Origin: https://developer.mozilla.org Vary: Origin
Caractéristiques
Caractéristiques | Statue | Commentaire |
---|---|---|
Fetch La définition de 'Access-Control-Allow-Origin' dans cette spécification. |
Standard évolutif | Initial definition. |
Compatibilité
BCD tables only load in the browser
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.