Access-Control-Allow-Origin
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
L'entête Access-Control-Allow-Origin
renvoie une réponse indiquant si les ressources peuvent être partagées avec une origine donnée.
Header type | Response header |
---|---|
Forbidden header name | no |
Syntaxe
Access-Control-Allow-Origin: * Access-Control-Allow-Origin: <origin> Access-Control-Allow-Origin: null
Directives
Exemples
Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :
Access-Control-Allow-Origin: *
Pour permettre https://developer.mozilla.org
d'accéder à vos ressources, vous pouvez indiquer :
Access-Control-Allow-Origin: https://developer.mozilla.org
CORS et le cache
Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "Origin" dans l'en-tête de réponse "Vary" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.
Access-Control-Allow-Origin: https://developer.mozilla.org Vary: Origin
Spécifications
Specification |
---|
Fetch Standard # http-access-control-allow-origin |
Compatibilité des navigateurs
BCD tables only load in the browser