Access-Control-Allow-Origin
L'entête Access-Control-Allow-Origin renvoie une réponse indiquant si les ressources peuvent être partagées avec une origine donnée.
| Header type | Response header |
|---|---|
| Forbidden header name | no |
Syntaxe
Access-Control-Allow-Origin: * Access-Control-Allow-Origin: <origin> Access-Control-Allow-Origin: null
Directives
- *
-
Pour les demandes sans informations d'identification, le serveur peut spécifier « * » comme un caractère générique, permettant ainsi à n'importe quelle origine d'accéder à la ressource.
- <origin>
-
Spécifie un URI qui peut accéder à la ressource. Il n'est possible de spécifier qu'une seule origine.
Exemples
Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :
Access-Control-Allow-Origin: *
Pour permettre https://developer.mozilla.org d'accéder à vos ressources, vous pouvez indiquer :
Access-Control-Allow-Origin: https://developer.mozilla.org
CORS et le cache
Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "Origin" dans l'en-tête de réponse "Vary" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.
Access-Control-Allow-Origin: https://developer.mozilla.org Vary: Origin
Spécifications
| Specification |
|---|
| Fetch Standard # http-access-control-allow-origin |
Compatibilité des navigateurs
BCD tables only load in the browser