L'entête Access-Control-Allow-Origin renvoie une réponse indiquant si les ressources peuvent être partagées avec une origine donnée.
| Header type | Response header |
|---|---|
| Forbidden header name | no |
Syntaxe
Access-Control-Allow-Origin: * Access-Control-Allow-Origin: <origin>
Directives
- *
- Pour les demandes sans informations d’identification, le serveur peut spécifier « * » comme un caractère générique, permettant ainsi à n’importe quelle origine d'accéder à la ressource.
- <origin>
- Spécifie un URI qui peut accéder à la ressource.
Exemples
Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :
Access-Control-Allow-Origin: *
Pour permettre https://developer.mozilla.org d'accéder à vos ressources, vous pouvez indiquer :
Access-Control-Allow-Origin: https://developer.mozilla.org
CORS et le cache
Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "Origine" dans l'en-tête de réponse "Vary" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.
Access-Control-Allow-Origin: https://developer.mozilla.org Vary: Origin
Caractéristiques
| Caractéristiques | Statue | Commentaire |
|---|---|---|
| Fetch La définition de 'Access-Control-Allow-Origin' dans cette spécification. |
Standard évolutif | Initial definition. |
Compatibilité
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
| Fonctionnalité | Chrome | Edge | Firefox | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|---|
| Support simple | 4 | 12 | 3.5 | 10 | 12 | 4 |
| Fonctionnalité | Android webview | Chrome for Android | Edge mobile | Firefox for Android | Opera Android | iOS Safari | Samsung Internet |
|---|---|---|---|---|---|---|---|
| Support simple | 2.1 | Oui | Oui | 4 | 12 | 3.2 | Oui |