Access-Control-Allow-Origin

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

L'entête Access-Control-Allow-Origin renvoie une réponse indiquant si les ressources peuvent être partagées avec une origine donnée.

Header type Response header
Forbidden header name no

Syntaxe

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origin>
Access-Control-Allow-Origin: null

Directives

*

Pour les demandes sans informations d'identification, le serveur peut spécifier « * » comme un caractère générique, permettant ainsi à n'importe quelle origine d'accéder à la ressource.

<origin>

Spécifie un URI qui peut accéder à la ressource. Il n'est possible de spécifier qu'une seule origine.

Exemples

Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :

Access-Control-Allow-Origin: *

Pour permettre https://developer.mozilla.org d'accéder à vos ressources, vous pouvez indiquer :

Access-Control-Allow-Origin: https://developer.mozilla.org

CORS et le cache

Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "Origin" dans l'en-tête de réponse "Vary" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Spécifications

Specification
Fetch
# http-access-control-allow-origin

Compatibilité des navigateurs

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
Access-Control-Allow-Origin

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

Voir aussi